グループに AWS アカウント へのアクセスを割り当てる
IAM アイデンティティセンターで管理ユーザーを作成し、最小特権のアクセス許可でタスクを実行するために使用できる追加のアクセス許可セットを割り当てた後、ユーザーグループに AWS アカウント へのアクセス権を付与できます。
個々のユーザーではなくグループに直接アクセスを割り当てることをお勧めします。例えば、組織単位に基づいてグループとアクセス許可セットを作成した場合、ユーザーが別の組織単位に移動すると、そのユーザーが別のグループに移動するだけで、新しい組織単位に必要なアクセス許可が自動的に割り当てられ、以前の組織単位のアクセス許可は失われます。
AWS アカウント にユーザーグループのアクセスを割り当てるには
-
IAM Identity Center コンソール
を開きます。 注記
ID ソースが AWS Managed Microsoft AD の場合は、次のステップに進む前に、IAM アイデンティティセンターコンソールで、AWS Managed Microsoft AD ディレクトリのあるリージョンを使用していることを確認してください。
-
ナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。
-
[AWS アカウント] ページには、組織のツリービューリストが表示されます。シングルサインオンアクセスを割り当てる 1 つまたは複数の AWS アカウント の横にあるチェックボックスをオンにします。
注記
アクセス許可セットごとに最大 10 個の AWS アカウント を選択できます。
-
[ユーザーまたはグループの割り当て] を選択します。
-
[ステップ 1: ユーザーとグループの選択] では、[ユーザーとグループを
AWS-account-name
に割り当てる] ページで [グループ] タブを選択後、1 つまたは複数のグループを選択します。結果をフィルターする場合は、検索ボックスに目的のグループの名前を入力します。
選択したグループを表示するには、[選択したユーザーとグループ] の横にある横向きの三角形を選択します。
正しいグループが選択されたことを確認したら、[次へ] を選択します。
-
[ステップ 2: アクセス許可セットの選択] では、[アクセス許可セットを "
AWS-account-name
" に割り当てる] ページで 1 つ以上のアクセス許可セットを選択します。注記
この手順を開始する前に必要なアクセス許可セットを作成していない場合は、[許可セットを作成] を選択し、アクセス権限セットを作成します。 の手順に従ってください。適用する権限セットを作成したら、IAM Identity Center コンソールで「AWS アカウント」に戻り、[ステップ 2: 権限セットを選択する] が表示されるまで指示に従います。このステップに到達したら、作成した新しい権限セットを選択し、この手順の次のステップに進みます。
正しい権限セットが選択されていることを確認したら、[次へ] を選択します。
-
ステップ 3: 確認して送信では、「
AWS-account-name
」への課題のレピューと提出ページで、次の操作を行います。-
選択したグループとアクセス許可セットを確認します。
-
正しいグループとアクセス許可セットが選択されていることを確認したら、[送信] を選択します。
重要
グループへの割り当てプロセスが完了するまでに数分かかることがあります。プロセスが正常に完了するまで、このページを開いたままにしておきます。
注記
ユーザーやグループに AWS Organizations 管理アカウントでの操作権限を付与する必要があるかもしれません。高い特権を持つアカウントであるため、追加のセキュリティ制限により、この設定を行う前に、IAMFullAccess
ポリシーまたは同等の権限を持つことが必要です。これらの追加のセキュリティ制限は、AWS 組織のどのメンバーアカウントにも必要ありません。
-
または、AWS CloudFormation を使用してアクセス権限セットを作成して割り当て、それらのアクセス権限セットにユーザを割り当てることもできます。ユーザーは、AWS アクセスポータルにサインイン するか、AWS Command Line Interface(AWS CLI) コマンドを使用できます。