• 検索:

    このセクションでは、IAM Identity Center の使用について紹介します。

    IAM Identity Center の有効化

    IAM Identity Center を使用するためにはまずは有効化する必要があります。

    IAM Identity Center は、IAM ページの左メニューの関連コンソールにあります。IAM Identity Center をクリックします。

    まず IAM Identity Center を作成するリージョンを右上で選択します(ここでは東京リージョンを選択しています)。リージョンを選択したら、[ 有効にする ] ボタンを押します。

    アイデンティティソースの指定

    ユーザーとグループを一元管理する場所を指定します。管理する方法は3つのタイプがありますが、ここでは Identity Center ディレクトリを管理することにしています。

    アイデンティティソースの選択で、Identity Center ディレクトリを選択し[ 次へ ]ボタンを押します。

    左メニューから設定を選択し設定ページを開きます。アクセスコントロールの属性の[ 有効にする ] ボタンを押し、アクセスコントロールの属性を有効化しておきます。

    アイデンティティソースで、[ AWS アクセスポータルの URL をカスタマイズ ] のアクセスを選択します。

    AWS アクセスポータルのURLで用いられるサブドメイン名を任意に指定して、[ 保存 ] ボタンを押します。ここでカスタマイズしたURLが AWS アクセスポータルのURLとなります。

    URLのカスタマイズは必須ではなく、デフォルトのままでも構いません。

    アイデンティティソースで、AWS アクセスポータルのURL が変更されていることを確認します。

    ユーザーとグループの作成

    Identity Center で使用するユーザーとグループを作成していきます。

    左メニューのユーザーを選択しユーザーページを開き、[ ユーザーを追加 ] ボタンを押し、新規ユーザーを作成していきます。

    ユーザー名、Εメールアドレス、名と性の必要情報を入力し [ 次へ ] ボタンを押します。

    グループは後で作成するので、ここでは [ 次へ ] ボタンを押し次へ進みます。

    入力した内容を確認して、[ ユーザーを追加 ] ボタンを押します。

    正常であれば、これで新規ユーザーが作成されます。

    ユーザーのEメールアドレスに招待メールが届きますので、Accept invitation をクリックします。

    次にグループを作成していきます。IAM Identity Center のグループページを開き、[ グループを作成 ] ボタンを押します。

    作成するグループ名を入力して、[ グループを作成 ] ボタンを押します。

    作成したグループにユーザーを登録していきます。IAM Identity Center グループページを開き、ユーザーを登録するグループをクリックします。

    [ ユーザーをグループに追加 ] ボタンを押します。

    グループに登録するユーザーにチェックを付けて、[ ユーザーを追加 ] ボタンを押します。

    アクセス権限の付与

    Identity Center で使用するユーザーとグループにアクセス権限を付与していきます。

    左メニューから許可セットを選択し許可セットページを開き、[ 許可セットを作成 ] ボタンを押し、付与するアクセス権限を作成していきます。

    付与するアクセス権限の内容をここで指定して、[ 次へ ] ボタンを押します。

    事前定義された許可セットでは、予め定義された権限を選択することができます。より細かな制御を行いたい場合には、カスタム許可セットを選択して自身で細かな権限を定義することもできます。

    選択した許可セットに対して、許可セット名やセッション期間などを指定して [ 次へ ] ボタンを押します。

    問題なければ、[ 作成 ]ボタンを押して付与するアクセス権限を作成します。

    正常であれば、この時点で許可セット(アクセス権限)が作成されます。

    左メニューから AWS アカウントを選択しAWS アカウントページを開き、権限を付与したいアカウントをクリックします。

    [ ユーザーまたはグループを割り当て ] ボタンを押し次へ進みます。

    割り当てるグループにチェックを付け、[ 次へ ] ボタンを押します。

    割り当てる許可セットにチェックを付け、[ 次へ ] ボタンを押します。

    割り当てるグループと許可セットの内容を確認し、問題なければ [ 送信 ] ボタンを押します。

    正常であれば、指定したAWS アカウントに対してグループと許可セットが割り当てられます。

    AWS アカウントのMFA設定

    IAM Identity Center で作成した AWS アカウントで MFA(多要素認証)の設定をしていきます。

    AWSアクセスポータルにアクセスし、AWS アカウントでサインインします。

    サインイン後、ページの右上にある [ MFA devies ] メニューを選択します。

    [ Register device ] ボタンを押します。

    認証アプリを選択し、[ Next ] ボタンを押します。スマフォなどに認証アプリがインストールされていない場合には、Google Authenticator など事前にインストールしておいて下さい。

    スマフォなどで ここで表示する QR コードを読み取り、認証アプリに登録して下さい。認証アプリに登録後、認証コードを入力し [ MFA を割り当て ] ボタンを押します。

    正常であれば、ここでMFAの設定が完了します。[ 完了 ] ボタンを押して終了します。

    MFAデバイスが登録されていることを確認します。

    次回以降、サインインする際に多要素認証を求められるようになります。

    IAM Identity Center でのサインイン

    IAM Identity Center で作成したユーザーのアカウントでサインインすると、そのユーザーに割り当てられた AWSアカウントとAWSアカウント内での許可セットの一覧が表示されます。

    また、AWSアカウントごとに「Management console」と「Command line or programmatic access」という2種類のアクセスできるようになっています。
    ・Management console は AWS 管理コンソールにアクセスします
    ・Command line or programmatic access は一時的なアクセスキーを発行し、これを使用して AWS CLI からアクセスすることができます

    AWS CLI からアクセスする場合には、事前にAWS CLI が利用できる環境をセットアップしておく必要があります。AWS CLIの環境セットアップについては別のページで紹介します。