翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する
<a name="quick-start-default-idc"></a>

IAM アイデンティティセンターを初めて有効にすると、アイデンティティセンターディレクトリがデフォルトの ID ソースとして自動的に構成されるため、ID ソースを選択する必要はありません。組織が、Microsoft Active Directory、Microsoft Entra ID または Okta などの別の ID プロバイダーを使用している場合、デフォルト設定を使用する代わりに、その ID ソースを IAM アイデンティティセンターと統合することを検討してください。

**目的**

このチュートリアルでは、デフォルトのディレクトリを ID ソースとして使用し、IAM アイデンティティセンター組織インスタンスを使用して管理ユーザーをセットアップしてテストします。この管理ユーザーは、ユーザーとグループを作成および管理し、アクセス許可セットを使用して AWS アクセスを許可します。次のステップでは、以下を作成します。
+ {{Nikki Wolf}} という名前の管理ユーザー
+ {{管理チーム}} という名前のグループ。
+ {{AdminAccess}} という名前のアクセス許可セット

すべてが正しく作成されたことを確認するには、サインインして管理ユーザーのパスワードを設定します。このチュートリアルを完了すると、管理ユーザーを使用して IAM アイデンティティセンターにユーザーを追加したり、アクセス許可セットを追加したり、アプリケーションへの組織的なアクセスを設定したりできます。または、ユーザーにアプリケーションへのアクセスを許可する場合は、この手順の[ステップ 1](#gs-qs-step1) に従って[アプリケーションアクセスを設定できます](manage-your-applications.md)。

## 前提条件
<a name="prereqs-qs"></a>

このチュートリアルを完了するには、以下の前提条件が必要です。
+ [IAM Identity Center を有効にする](enable-identity-center.md) であり、[IAM アイデンティティセンターの組織インスタンス](organization-instances-identity-center.md)を持っている。
  + IAM アイデンティティセンターの[アカウントインスタンス](account-instances-identity-center.md)を持っていれば、ユーザーとグループを作成し、アプリケーションへのアクセス権を付与できます。詳細については、「[アプリケーションへのアクセス](manage-your-applications.md)」を参照してください。
+ にサインイン AWS マネジメントコンソール し、IAM Identity Center コンソールに次のようにアクセスします。
  + **New to AWS (ルートユーザー)** – **AWS アカウント ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
  + **( AWS IAM 認証情報) を既に使用** – 管理者権限を持つ IAM 認証情報を使用してサインインします。
    + へのサインインの詳細については AWS マネジメントコンソール、「 [AWS サインイン ガイド」を参照してください。](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ IAM アイデンティティセンターユーザーの多要素認証を設定できます。詳細については、「[IAM アイデンティティセンターでの MFA の設定](mfa-configure.md)」を参照してください。

## ステップ 1: ユーザーを追加する
<a name="gs-qs-step1"></a>

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. IAM アイデンティティセンターナビゲーションペインで、**[ユーザー]** を選択し、**[ユーザーの追加]** を選択します。

1. **[ユーザーの詳細を指定]** ページで、次の情報を入力します。
   + **[ユーザー名]** - このチュートリアルでは、{{nikkiw}} と入力します。

     ユーザーを作成するときは、覚えやすいユーザー名を選択してください。アクセス AWS ポータルにサインインするには、ユーザーがユーザー名を覚えている必要があり、後で変更することはできません。
   + **[パスワード]** - **[このユーザーにパスワード設定の手順を記載した E メールを送信 (推奨)]** を選択します。

     このオプションでは、Amazon Web Services からユーザーに「**Invitation to join IAM Identity Center**」という件名の E メールが送信されます。E メールは、`no-reply@signin.aws` または `no-reply@login.awsapps.com` から送信されます。これらの E メールアドレスを承認済み送信者リストに追加してください。
   + **[E メールアドレス]** - メールを受信できるユーザーの E メールアドレスを入力します。確認のため再入力します。各ユーザーは一意の E メールアドレスを持っている必要があります。
   + **[名]** - ユーザーの名を入力します。このチュートリアルでは、{{Nikki}} と入力します。
   + **[姓]** - ユーザーの姓を入力します。このチュートリアルでは、{{Wolf}} と入力します。
   + **[表示名]** - デフォルト値は、ユーザーの名と姓です。表示名を変更したい場合は、別の名前を入力できます。表示名はサインインポータルとユーザーリストに表示されます。
   + 必要に応じてオプション情報を入力します。このチュートリアルでは使用されないので、後で変更できます。

1. [**次へ**] を選択します。**[ユーザーをグループに追加]** ページが表示されます。{{Nikki}} に直接アクセス許可を与えるのではなく、管理者のアクセス許可を割り当てるグループを作成します。

   **[グループを作成]** を選択する 

   新しいブラウザタブで **[グループの作成]** ページが開きます。

   1. **[グループの詳細]** の **[グループ名]** に、グループの名前を入力します。グループのロールを識別するグループ名を使用することをおすすめします。このチュートリアルでは、{{Admin team}}と入力します。

   1. **[グループを作成]** を選択する

   1. **[グループ]** ブラウザータブを閉じて、**[ユーザーを追加]** ブラウザタブに戻ります。

1. **[グループ]** 領域で、**[更新]** ボタンを選択します。{{管理チーム}}グループがリストに表示されます。

   {{[管理チーム]}} の横にあるチェックボックスをオンにし、**[次へ]** を選択します。

1. **[ユーザーの確認と追加]** ページで、次のことを確認します。
   + 主要情報は意図したとおりに表示されます。
   + グループには、作成したグループに追加されたユーザーが表示されます。

   変更するには、[**Edit**] (編集) を選択します。すべての情報が正しければ、**[ユーザーを追加]** を選択します。

   ユーザーが追加されたことを知らせる通知メッセージが表示されます。

次に、{{管理チーム}}グループの管理アクセス許可を追加して、{{Nikki}} がリソースにアクセスできるようにします。

## ステップ 2: 管理者アクセス許可を追加する
<a name="gs-qs-step2"></a>
**重要**  
[IAM アイデンティティセンターの組織インスタンス](identity-center-instances.md)を有効にした場合にのみ、以下の手順に従います。

1. IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。

1. **[AWS アカウント]** ページの**[組織構造]** には、自分の組織とその下のアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。

1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. **[ステップ 1: ユーザーとグループの選択]** では、作成した{{管理チーム}}グループを選択します。次いで、**[次へ]** を選択します。

   1. **[ステップ 2: アクセス許可セットの選択]** では、**[許可セットを作成]** を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
         + **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
         + **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。

         [**次へ**] を選択します。

      1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。

         デフォルト設定では、{{AdministratorAccess}} という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。アクセス許可セットの名前を変更するには、**[許可セット名]** フィールドに新しい名前を入力します。

      1. **ステップ 3: 確認して作成**するには、**アクセス許可セットタイプ**が AWS 管理ポリシー **AdministratorAccess** を使用していることを確認します。**[作成]** を選択します。**[アクセス許可セット]** ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      **[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      **[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した {{AdministratorAccess}} 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択して、**[次へ]** を選択します。

   1. **[ステップ 3: 割り当ての確認と送信]** ページで、{{[管理者チーム]}} グループが選択されていることと、{{AdministratorAccess}} 許可セットが選択されていることを確認し、**[送信]** を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

       AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを通知する通知メッセージが表示されます。

**お疲れ様でした。**  
最初のユーザー、グループ、アクセス許可セットが正常に設定されました。

このチュートリアルの次の部分では、管理者認証情報を使用して AWS アクセスポータルにサインインして {{Nikki }}のアクセスをテストし、パスワードを設定します。すぐにコンソールからサインアウトします。

## ステップ 3: ユーザーアクセスのテスト
<a name="gs-qs-step3"></a>

これで {{Nikki Wolf}} は組織のユーザーになりました。Nikki Wolf は、サインインして、アクセス許可セットに従ってアクセス許可が付与されているリソースにアクセスできます。ユーザーが正しく設定されていることを確認するために、次のステップでは {{Nikki}} の認証情報を使用してサインインし、パスワードを設定します。ステップ 1 でユーザー {{Nikki Wolf}} を追加したときに、{{Nikki}} にパスワード設定手順が記載された E メールが送信されるように選択しました。この E メールを開いて、以下の操作を行います。

1. E メール内の **[招待を承認]** リンクを選択して招待を承諾します。
**注記**  
E メールには、{{Nikki}} のユーザー名と、組織へのサインインに使用する AWS アクセスポータル URL も含まれています。将来使用するためにこの情報を記録します。

   {{Nikki}} のパスワードを設定し、[MFA デバイスを登録](enable-mfa.md)できる **[新規ユーザーのサインアップ]** ページが表示されます。

1. {{Nikki}} のパスワードを設定すると、**[サインイン]** ページに移動します。{{nikkiw}} と入力して **[次へ]** を選択し、{{Nikki}} のパスワードを入力して **[サインイン]** を選択します。

1.  AWS アクセスポータルが開き、アクセスできる組織とアプリケーションが表示されます。

   組織を選択して のリストに展開 AWS アカウント し、アカウントを選択して、アカウントのリソースにアクセスするために使用できるロールを表示します。

    各アクセス許可セットには、**ロール方式**と**アクセスキー方式**の 2 つの管理方式があります。
   + **ロール方式**、例えば{{AdministratorAccess}}の場合、 AWS Console Homeを開きます。
   + **アクセスキー** - AWS CLI または SDK および AWS SDK で使用できる認証情報を提供します。自動的に更新される短期認証情報または短期アクセスキーのいずれかを使用するための情報が含まれます。詳細については、「[AWS CLI AWS SDKs の IAM Identity Center ユーザー認証情報の取得](howtogetcredentials.md)」を参照してください。

1. **[ロール]** のリンクを選択して AWS Console Homeにサインインします。

 サインインし、 AWS Console Home ページに移動します。コンソールを表示して、期待どおりのアクセス許可があることを確認します。

## 次の手順
<a name="gs-qs-next-steps"></a>

IAM アイデンティティセンターで管理ユーザーを作成したため、次のことができるようになりました。
+ [アプリケーションを割り当てる](manage-your-applications.md)
+ [他のユーザーを追加する](addusers.md)
+ [ユーザーをアカウントに割り当てる](assignusers.md)
+ [追加のアクセス許可セットを設定する](howtocreatepermissionset.md)
**注記**  
同じユーザーに複数のアクセス許可セットを割り当てることもできます。最小権限の権限を適用するというベストプラクティスに従うには、管理ユーザーを作成した後に、より制限の厳しいアクセス権限セットを作成して同じユーザーに割り当てます。これにより、管理アクセス許可ではなく、必要なアクセス許可のみ AWS アカウント を使用して にアクセスできます。

ユーザーが[招待を受け入れ](howtoactivateaccount.md)てアカウントをアクティブ化し、 AWS アクセスポータルにサインインすると、ポータルに表示される項目は、割り当てられている AWS アカウント、ロール、およびアプリケーションのみです。