翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS コンソールへのフェデレーションの設定 (SALZ)
次の表に詳述されている IAM ロールと SAML ID プロバイダー (信頼されたエンティティ) は、アカウントのオンボーディングの一部としてプロビジョニングされています。これらのロールを使用すると、RFCs、サービスリクエスト、インシデントレポートを送信およびモニタリングし、VPCsとスタックに関する情報を取得できます。
| ロール | ID プロバイダー | アクセス許可 |
|---|---|---|
Customer_ReadOnly_Role |
SAML |
標準 AMS アカウントの場合。RFCs を送信して AMS が管理するインフラストラクチャを変更したり、サービスリクエストやインシデントを作成したりできます。 |
Customer_managed_ad_user_role |
SAML |
AMS Managed Active Directory アカウントの場合。AMS コンソールにログインして、サービスリクエストとインシデント (RFCsなし) を作成できます。 |
異なるアカウントで使用可能なロールの完全なリストについては、「」を参照してくださいAMS の IAM ユーザーロール 。
オンボーディングチームのメンバーは、フェデレーションソリューションから事前設定された ID プロバイダーにメタデータファイルをアップロードします。Shibboleth や Active Directory フェデレーションサービスなどの SAML 互換 IdP (ID プロバイダー) 間の信頼を確立し、組織内のユーザーが AWS リソースにアクセスできるようにする場合は、SAML ID プロバイダーを使用します。IAM の SAML ID プロバイダーは、上記のロールを持つ IAM 信頼ポリシーのプリンシパルとして使用されます。
他のフェデレーションソリューションは AWS の統合手順を提供しますが、AMS には個別の手順があります。次のブログ記事「Windows Active Directory、AD FS、SAML 2.0 を使用した AWS へのフェデレーションの有効化
ブログ投稿に従って証明書利用者の信頼を作成したら、次の方法でクレームルールを設定します。
NameId: ブログ記事に従ってください。
RoleSessionName: 次の値を使用します。
クレームルール名: RoleSessionName
属性ストア: Active Directory
LDAP 属性: SAM-Account-Name
送信クレームタイプ: https://aws.amazon.com/SAML/Attributes/RoleSessionName
AD グループを取得する: ブログ記事に従ってください。
ロールクレーム: ブログ記事に従いますが、カスタムルールには以下を使用します。
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
AD FS を使用する場合は、次の表に示す形式でロールごとに Active Directory セキュリティグループを作成する必要があります (customer_managed_ad_user_role は AMS Managed AD アカウント専用です)。
| グループ | ロール |
|---|---|
AWS-[AccountNo]-Customer_ReadOnly_Role |
Customer_ReadOnly_Role |
AWS-[AccountNo]-customer_managed_ad_user_role |
Customer_managed_ad_user_role |
詳細については、「認証レスポンスの SAML アサーションの設定」を参照してください。
ヒント
トラブルシューティングに役立つように、ブラウザの SAML トレーサープラグインをダウンロードします。
