クイックスタート: AWS マネージドアプリケーションをテストするための IAM アイデンティティセンターのセットアップ
管理者が IAM アイデンティティセンターへのアクセスをまだ提供していない場合は、このトピックのステップを使用して、AWS マネージドアプリケーションをテストするための IAM アイデンティティセンターを設定できます。IAM アイデンティティセンターを有効にし、IAM アイデンティティセンターでユーザーを直接作成し、そのユーザーを AWS マネージドアプリケーションに割り当てる方法について説明します。
このトピックでは、次のいずれかの方法で IAM アイデンティティセンターを有効にする方法に関するクイックスタートステップについて説明します。
AWS Organizations の場合 – このオプションを選択すると、IAM アイデンティティセンターの組織インスタンスが作成されます。
特定の AWS アカウント のみ – このオプションを選択すると、IAM アイデンティティセンターのアカウントインスタンスが作成されます。
これらのインスタンスタイプの詳細については、「IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス」を参照してください。
前提条件
IAM アイデンティティセンターを有効にする前に、以下を確認してください。
-
AWS アカウント がある – AWS アカウント がない場合は、「AWS アカウント管理リファレンスガイド」の「AWS アカウント の開始方法」を参照してください。
-
AWS マネージドアプリケーションは IAM アイデンティティセンターと連携 – IAM アイデンティティセンターで使用できる AWS マネージドアプリケーション のリストを確認して、テストする AWS マネージドアプリケーションが IAM アイデンティティセンターとの連携していることを確認します。
-
リージョン別の考慮事項を確認した – テストする AWS マネージドアプリケーションが、IAM アイデンティティセンターを有効にする AWS リージョン でサポートされていることを確認します。詳細については、AWS マネージドアプリケーションのドキュメントを参照してください。
注記
AWS マネージドアプリケーションは、IAM アイデンティティセンターを有効にする予定のリージョンと同じリージョンにデプロイする必要があります。
AWS マネージドアプリケーションをテストするための IAM アイデンティティセンターの組織インスタンスのセットアップ
注記
このトピックでは、 を使用して IAM アイデンティティセンターを AWS Organizations で有効にする方法について説明します。これは、IAM アイデンティティセンターを有効にするために推奨される方法です。
アクセス許可を確認する
AWS Organizations で IAM アイデンティティセンターを有効にするには、次のいずれかの方法で AWS 管理コンソールにサインインする必要があります。
-
AWS アカウント で IAM アイデンティティセンターを有効にする AWS Organizations で管理権限を持つユーザー。
-
ルートユーザー (他の管理ユーザーが存在しない場合を除き、推奨されません)。
重要
ルートユーザーは、アカウントのすべての AWS サービスとリソースにアクセスできます。セキュリティのベストプラクティスとして、他の認証情報がない場合は、アカウントのルート認証情報を使用して AWS リソースにアクセスしないでください。これらの認証情報は無制限のアカウントアクセスを提供し、取り消すのが困難です。
ステップ 1. AWS Organizations で IAM アイデンティティセンターを有効にする
-
以下のいずれかを行って、AWS マネジメントコンソール にサインインします。
-
AWS[新規の (ルートユーザー)] – [ルートユーザー] を選択し、AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
-
[既にスタンドアロンの AWS アカウント (IAM 認証情報) を使って AWS を利用している場合] — 管理者権限を持つ IAM 認証情報を使用してサインインします。
-
-
AWS 管理コンソールのホームページで、IAM アイデンティティセンターサービスを選択するか、IAM アイデンティティセンターコンソール
に移動します。 -
[有効にする] を選択して、AWS Organizations で IAM アイデンティティセンターを有効にします。これを行うと、IAM アイデンティティセンターの組織インスタンスが作成されます。
ステップ 2. IAM アイデンティティセンターでの管理ユーザーの作成
この手順では、組み込みのアイデンティティセンターディレクトリでユーザーを直接作成する方法について説明します。このディレクトリは、管理者がワークフォースユーザーの管理に使用する可能性のある他のディレクトリに接続されていません。IAM アイデンティティセンターでユーザーを作成したら、このユーザーの新しい認証情報を指定します。このユーザーとしてサインインして AWS マネージドアプリケーションをテストすると、企業リソースへのアクセスに使用する既存の認証情報ではなく、新しい認証情報でサインインします。
注記
テスト目的でのみユーザーを作成する場合は、この方法を使用することが推奨されます。
-
IAM アイデンティティセンターコンソールのナビゲーションペインで、[ユーザー]、[ユーザーを追加] の順に選択します。
-
コンソールのガイダンスに従ってユーザーを追加します。「パスワード設定手順を記載した E メールをこのユーザーに送信」を選択したまま、アクセスできる E メールアドレスを指定していることを確認します。
-
ナビゲーションペインで、AWS アカウント を選択し、アカウントの横にあるチェックボックスをオンにして、ユーザーまたはグループの割り当てを選択します。
-
[ユーザー] タブを選択し、追加したユーザーの横にあるチェックボックスをオンにして、[次へ] を選択します。
-
[アクセス許可セットの作成] を選択し、コンソールのガイダンスに従って
AdministratorAccessの事前定義されたアクセス許可セットを作成します。 -
完了すると、新しいアクセス許可セットがリストに表示されます。ブラウザウィンドウの[アクセス許可セット] タブを閉じて、[ユーザーとグループの割り当て] タブに戻り、アクセス[許可セットの作成] の横にある更新アイコンを選択します。
-
[ユーザーとグループのブラウザの割り当て] タブに、新しいアクセス許可セットがリストに表示されます。アクセス許可セットの名前の横にあるチェックボックスを選択し、[次] へを選択し、[送信] を選択します。
-
コンソールからサインアウトします。
ステップ 3. 管理アクセス権を持つユーザーとして AWS アクセスポータルにサインインする
AWS アクセスポータルは、作成したユーザーに AWS 管理コンソールへのアクセスを提供するウェブポータルです。AWS アクセスポータルにサインインする前に、IAM アイデンティティセンターへの参加の招待を承諾し、ユーザー認証情報をアクティブ化する必要があります。
-
E メールの件名で「AWS IAM アイデンティティセンターへの参加を招待する」を確認してください。
-
[招待を受け入れる] を選択し、サインアップページのガイダンスに従って、ユーザーの新しいパスワードの設定、サインイン、MFA デバイスの登録を行います。
-
MFA デバイスを登録すると、 AWS アクセスポータルが開きます。
-
AWS アクセスポータルで、AWS アカウント を選択し、AdministratorAccess を選びます。AWS 管理コンソールにリダイレクトされます。
ステップ 4. IAM アイデンティティセンターを使用するように AWS マネージドアプリケーションを設定する
-
AWS 管理コンソールにサインインしている間、使用する AWS マネージドアプリケーションのコンソールを開きます。
-
コンソールのガイダンスに従って、IAM アイデンティティセンターを使用するように AWS マネージドアプリケーションを設定します。このプロセス中に、作成したユーザーをアプリケーションに割り当てることができます。
AWS マネージドアプリケーションをテストするための IAM アイデンティティセンターのアカウントインスタンスの設定
注記
IAM アイデンティティセンターのアカウントインスタンスにより、デプロイは単一の AWS アカウント に制限されます。このインスタンスは、テストする AWS アプリケーションと同じ AWS リージョン で有効にする必要があります。
アプリを確認する
IAM アイデンティティセンターと連携するすべての AWS マネージドアプリケーションは、IAM アイデンティティセンターの組織インスタンスで使用できます。ただし、これらのアプリケーションの一部のみを IAM アイデンティティセンターのアカウントインスタンスで使用できます。IAM アイデンティティセンターで使用できる AWS マネージドアプリケーション のリストを確認します。
ステップ 1. IAM アイデンティティセンターのアカウントインスタンスを有効にする
-
以下のいずれかを行って、AWS マネジメントコンソール にサインインします。
-
AWS[新規の (ルートユーザー)] – [ルートユーザー] を選択し、AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
-
[既にスタンドアロン AWS アカウント を使用している AWS (IAM 認証情報)] — 管理者権限を持つ IAM 認証情報を使用してサインインします。
-
-
AWS 管理コンソールのホームページで、IAM アイデンティティセンターサービスを選択するか、IAM アイデンティティセンターコンソール
に移動します。 -
[有効化] を選択します。
-
[AWS Organizations で IAM アイデンティティセンターを有効にする] ページで、[IAM アイデンティティセンターのアカウントインスタンスを有効にする]を選択します。
-
[IAM アイデンティティセンターのアカウントインスタンスを有効にする]ページで、情報を確認し、オプションでこのアカウントインスタンスに関連付けるタグを追加します。次に、[Enable] (有効化) を選択します。
ステップ 2. IAM アイデンティティセンターでユーザーを作成する
この手順では、組み込みのアイデンティティセンターディレクトリでユーザーを直接作成する方法について説明します。このディレクトリは、管理者がワークフォースユーザーの管理に使用する可能性のある他のディレクトリに接続されていません。IAM アイデンティティセンターでユーザーを作成したら、このユーザーの新しい認証情報を指定します。このユーザーとしてサインインして AWS マネージドアプリケーションをテストすると、新しい認証情報でサインインします。新しい認証情報では、他の企業リソースにアクセスすることはできません。
注記
テスト目的でのみユーザーを作成する場合は、この方法を使用することが推奨されます。
-
IAM アイデンティティセンターコンソールのナビゲーションペインで、[ユーザー]、[ユーザーを追加] の順に選択します。
-
コンソールのガイダンスに従ってユーザーを追加します。「パスワード設定手順を記載した E メールをこのユーザーに送信」を選択したまま、アクセスできる E メールアドレスを指定していることを確認します。
-
コンソールからサインアウトします。
ステップ 3. IAM アイデンティティセンターのユーザーとして AWS アクセスポータルにサインインします。
AWS アクセスポータルは、作成したユーザーに AWS 管理コンソールへのアクセスを提供するウェブポータルです。AWS アクセスポータルにサインインする前に、IAM アイデンティティセンターへの参加の招待を承諾し、ユーザー認証情報をアクティブ化する必要があります。
-
E メールの件名で「AWS IAM アイデンティティセンターへの参加を招待する」を確認してください。
-
[招待を受け入れる] を選択し、サインアップページのガイダンスに従って、ユーザーの新しいパスワードの設定、サインイン、MFA デバイスの登録を行います。
-
MFA デバイスを登録すると、 AWS アクセスポータルが開きます。アプリケーションが利用可能になると、[アプリケーション] タブに表示されます。
注記
アカウントインスタンスをサポートするアプリケーション AWS を使用すると、ユーザーは追加のアクセス許可を必要とせずにアプリケーションにサインインできます。したがって、[アカウント] タブは空のままになります。
ステップ 4. IAM アイデンティティセンターを使用するように AWS マネージドアプリケーションを設定する
-
AWS 管理コンソールにサインインしている間、使用する AWS マネージドアプリケーションのコンソールを開きます。
-
コンソールのガイダンスに従って、IAM アイデンティティセンターを使用するように AWS マネージドアプリケーションを設定します。このプロセス中に、作成したユーザーをアプリケーションに割り当てることができます。
