デフォルトの IAM Identity Center ディレクトリを使用してユーザーアクセスを設定する - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトの IAM Identity Center ディレクトリを使用してユーザーアクセスを設定する

IAM Identity Center を初めて有効にすると、デフォルトの ID ソースとして Identity Center ディレクトリが自動的に設定されるため、ID ソースを選択する必要はありません。組織で などの別の ID プロバイダーを使用している場合は AWS Directory Service for Microsoft Active Directory、Microsoft Entra ID、または Okta デフォルト設定を使用する代わりに、その ID ソースを IAM Identity Center と統合することを検討してください。

目的

このチュートリアルでは、デフォルトディレクトリを ID ソースとして使用し、ユーザーアクセスを設定してテストします。このシナリオでは、IAMIdentity Center のすべてのユーザーとグループを管理します。ユーザーは AWS アクセスポータルからサインインします。このチュートリアルは、 を初めて使用するユーザー、 AWS またはユーザーとグループの管理IAMに を使用していたユーザーを対象としています。次のステップでは、以下を作成します。

  • という名前の管理ユーザー Nikki Wolf

  • という名前のグループ Admin team

  • という名前のアクセス許可セット AdminAccess

すべてが正しく作成されたことを確認するには、サインインして管理ユーザーのパスワードを設定します。このチュートリアルを完了すると、管理ユーザーを使用して IAM Identity Center にユーザーを追加し、追加のアクセス許可セットを作成し、アプリケーションへの組織アクセスを設定できます。

IAM Identity Center をまだ有効にしていない場合は、「」を参照してください有効化 AWS IAM Identity Center

以下のいずれかを行って、 AWS Management Consoleにサインインします。

  • 新規ユーザー AWS (ルートユーザー)AWS アカウント ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。

  • ( AWS 認証情報) を既に使用IAM – 管理アクセス許可を持つIAM認証情報を使用してサインインします。

IAM Identity Center コンソール を開きます。

  1. IAM Identity Center ナビゲーションペインで、ユーザー を選択し、ユーザー を追加 を選択します。

  2. [ユーザーの詳細を指定] ページで、次の情報を入力します。

    • ユーザー名 - このチュートリアルでは、「」と入力します。nikkiw.

      ユーザーを作成するときは、覚えやすいユーザー名を選択してください。ユーザーは AWS アクセスポータルにサインインする際にユーザー名を覚えておく必要があり、後で変更することはできません。

    • [パスワード] - [このユーザーにパスワード設定の手順を記載した E メールを送信 (推奨)] を選択します。

      このオプションでは、Amazon Web Services から送信された E メールを、IAMIdentity Center に参加する招待の件名とともにユーザーに送信します。E メールは、no-reply@signin.aws または no-reply@login.awsapps.com から送信されます。これらの E メールアドレスを承認済み送信者リストに追加してください。

    • [E メールアドレス] - メールを受信できるユーザーの E メールアドレスを入力します。確認のため再入力します。各ユーザーは一意の E メールアドレスを持っている必要があります。

    • [名] - ユーザーの名を入力します。このチュートリアルでは、Nikki.

    • [姓] - ユーザーの姓を入力します。このチュートリアルでは、Wolf.

    • [表示名] - デフォルト値は、ユーザーの名と姓です。表示名を変更したい場合は、別の名前を入力できます。表示名はサインインポータルとユーザーリストに表示されます。

    • 必要に応じてオプション情報を入力します。このチュートリアルでは使用されないので、後で変更できます。

  3. [Next (次へ)] を選択します。[ユーザーをグループに追加] ページが表示されます。管理アクセス許可を直接 に付与するのではなく、 に管理者アクセス許可を割り当てるグループを作成します。Nikki.

    [グループを作成] を選択する

    新しいブラウザタブで [グループの作成] ページが開きます。

    1. [グループの詳細][グループ名] に、グループの名前を入力します。グループのロールを識別するグループ名を使用することをおすすめします。このチュートリアルでは、Admin team.

    2. [グループを作成] を選択する

    3. [グループ] ブラウザータブを閉じて、[ユーザーを追加] ブラウザタブに戻ります。

  4. [グループ] 領域で、[更新] ボタンを選択します。- Admin team グループがリストに表示されます。

    の横にあるチェックボックスを選択します。Admin teamを選択し、次へ を選択します。

  5. [ユーザーの確認と追加] ページで、次のことを確認します。

    • 主要情報は意図したとおりに表示されます。

    • グループには、作成したグループに追加されたユーザーが表示されます。

    変更するには、[Edit] (編集) を選択します。すべての情報が正しければ、[ユーザーを追加] を選択します。

    ユーザーが追加されたことを知らせる通知メッセージが表示されます。

次に、Admin team グループをグループ化して、Nikki はリソースにアクセスできます。

  1. IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可 で、 を選択しますAWS アカウント

  2. [AWS アカウント] ページの[組織構造] には、自分の組織とその下のアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. ステップ 1: ユーザーとグループを選択するには、Admin team 作成したグループ。次いで、[次へ] を選択します。

    2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • 事前定義されたアクセス許可セット のポリシーで、 を選択しますAdministratorAccess

        [Next (次へ)] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、 という名前のアクセス許可セットを作成します。AdministratorAccess セッション時間を 1 時間に設定した 。アクセス許可セットの名前を変更するには、アクセス許可セット名フィールドに新しい名前を入力します。

      3. ステップ 3: を確認して作成するにはアクセス許可セットタイプが AWS マネージドポリシー を使用していることを確認しますAdministratorAccess。[Create] (作成) を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。- AdministratorAccess 作成したアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択し、次へ を選択します。

    3. ステップ 3: 割り当てを確認して送信するページで、Admin team グループが選択され、AdministratorAccess アクセス許可セットを選択し、「送信」を選択します。

      ページ AWS アカウント が更新され、 が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。

お疲れ様でした。

最初のユーザー、グループ、アクセス許可セットが正常に設定されました。

このチュートリアルの次の部分では、Nikki's 管理認証情報を使用して AWS アクセスポータルにサインインし、パスワードを設定してアクセスします。すぐにコンソールからサインアウトします。

これで Nikki Wolf は組織内のユーザーであり、サインインして、アクセス許可セットに従ってアクセス許可を付与されたリソースにアクセスできます。ユーザーが正しく設定されていることを確認するには、次のステップで を使用します。Nikki's 認証情報を使用してサインインし、パスワードを設定します。ユーザーを追加したとき Nikki Wolf ステップ 1 では、Nikki パスワード設定手順が記載された E メールを受信します。この E メールを開いて、以下の操作を行います。

  1. E メール内の [招待を承認] リンクを選択して招待を承諾します。

    注記

    E メールには、Nikki's ユーザー名と、組織へのサインインURLに使用する AWS アクセスポータル。将来使用するためにこの情報を記録します。

    設定できる新しいユーザーサインアップページに移動します。Nikki's パスワード。

  2. 設定後 Nikki's パスワード。サインインページに移動します。Enter nikkiw を選択し、 と入力します。Nikki's パスワードを入力し、サインイン を選択します。

  3. AWS アクセスポータルが開き、アクセスできる組織とアプリケーションが表示されます。

    組織を選択して のリストに展開 AWS アカウント し、アカウントを選択して、アカウントのリソースにアクセスするために使用できるロールを表示します。

    各アクセス許可セットには、ロールキーまたはアクセスキー の 2 つの管理方法があります。

    • ロール など AdministratorAccess - を開きます AWS Console Home。

    • アクセスキー - AWS CLI または および で使用できる認証情報を提供します AWS SDK。自動的に更新される短期認証情報または短期アクセスキーのいずれかを使用するための情報が含まれます。詳細については、「の IAM Identity Center ユーザー認証情報の取得 AWS CLI または AWS SDKs」を参照してください。

  4. ロールリンクを選択して にサインインします AWS Console Home。

サインインし、 AWS Console Home ページに移動します。コンソールを表示して、期待どおりのアクセス許可があることを確認します。

IAM Identity Center で管理ユーザーを作成したら、次のことができます。

ユーザーがアカウントをアクティブ化するための招待を承諾し、 AWS アクセスポータルにサインインすると、ポータルに表示される項目は、割り当てられた AWS アカウント、ロール、およびアプリケーションのみです。

重要

ユーザーの多要素認証 (MFA) を有効にすることを強くお勧めします。詳細については、「Identity Center ユーザー用の多要素認証」を参照してください。