AWSアカウントを接続する

注:

販売終了のお知らせ

2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。

Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。

早期アクセスリリース

AWSサーバー検出は、1つ以上のAWSアカウントを特定のプロジェクトに接続します。これにより、Advanced Server Accessは自動的にAWSサーバーを追加または削除できるようになります。プロジェクトは複数のAWSアカウントに接続できますが、AWSアカウントはAdvanced Server Accessの全チームで1つのプロジェクトにしか関連付けられません。

また、Advanced Server Accessは、Oktaが管理するサービスアカウント（外部IDと呼ばれる）を使用して、AWSアカウントの問い合わせを行います。このようなサービスアカウントは接続している各クラウドアカウントに固有であり、アクティブなEC2インスタンスと関連付けられているメタデータの検出に使用されています。このようなアカウントには、AWS IAMロールから付与された最小の参照許可を必要とします。IAMロールの詳細については、AWSドキュメントを参照してください。

注:

AWS IAMロールはサーバーの検出とクラウドの自動登録が正しく機能するために必要です。

自分のAWSアカウントIDを確認します。
1. Amazon Web Services Admin Consoleに移動します。
2. ページの上部のプロファイル名の横にあるドロップダウンメニューを選択し、マイアカウント（My Account）をクリックします。
3. アカウント設定（［Account Settings）］の下のアカウントID番号をメモします。

プロジェクトを構成します。

Advanced Server Access Admin Consoleに移動します。
プロジェクト（［Projects）］ページに移動してサーバー用のプロジェクトを選択します。
登録（［Enrollment）］タブを開きます。
クラウドアカウントをリンクする（Link Cloud Account）をクリックします。

クラウドアカウントを作成する（［Create Cloud Account）］ウィンドウでクラウドアカウントの設定を構成します。

設定	アクション
クラウドプロバイダー	Amazon Web Services（AWS）を選択します。
アカウントID	前もって記録しておいたアカウントIDを入力します。
説明	接続の識別に役立つ説明を入力します。
AWS ASAアカウントIDおよび外部ID	これらの値は次の手順で使用することに留意してください。これらはOktaが管理するAWSサービスアカウントに関連しています。あなたのAWSアカウントIDとは異なります。外部IDの使用に関する詳細は、AWSドキュメントを参照してください。

自分のAWSアカウントIDを確認します。
1. 新しいブラウザウィンドウでAmazon Web Services管理者コンソールにアクセスし、IAMコンソールを開きます。注：［Create Cloud Account（クラウドアカウントを作成する）］ウィンドウを閉じないでください。
2. ロール（［Roles）］ページに移動してロールを作成する（Create role）をクリックします。
3. ロールを作成する（［Create Role）］ウィンドウで別のAWSアカウント（Another AWS account）ロールタイプを選択します。
4. アカウントID（［Account ID）］の下側に、前の手順でメモしたAWS ASAアカウントID（AWS ASA Account ID）を入力します。
5. 外部IDを要求する（Require external ID）を選択して、前の手順でメモした外部ID（External ID）を入力します。
6. 次へ：許可（Next: Permissions）をクリックします。
7. ロールにAmazonEC2ReadOnlyAccess許可を付与します。注：ポリシーを作成する（Create Policy）をクリックして新しいカスタムポリシーを作成することもできます。カスタムポリシーには以下を含める必要があります：{"Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*"} 詳しくは、AWSのドキュメントを参照してください。
8. 次へ：タグ（Next: Tags）をクリックします。
9. 確認（Review）（Next: Review）をクリックします。
10. 設定を確認してロールを作成する（Create role）をクリックします。
11. 後で使用するためにAmazon Resource Name (ARN)をメモします。
Advanced Server Accessのクラウドアカウントを作成する（Create Cloud Account）ウィンドウに戻ります。
ロール（［Role）］フィールドにARNを入力します。
送信（Submit）をクリックします。

Advanced Server Accessはクラウドアカウントをプロジェクトに接続し、アクティブなEC2インスタンスがあれば検出します。検出プロセスは、クラウドアカウントの当初の接続時刻とほぼ同じ時刻に毎日実行されます。これは、プロジェクトからクラウドアカウントが切断されるまで継続します。

実際にプロジェクトに登録するには、インスタンス上にAdvanced Server Accessサーバーエージェントをインストールする必要があります。サーバーを登録しない限り、ユーザーはAdvanced Server Accessを通じてサーバーに接続することはできません。また、サーバーの詳細情報が正しく同期しない可能性があります。

AWSに接続済みのプロジェクトからサーバーを再デプロイする場合、別のプロジェクトからの登録トークンを使用することができます。これは、検出したAWSサーバーのサーバー管理者が、別のプロジェクトに関連付けられているAdvanced Server Accessグループの一員であるような状況で行われることがあります。

次の手順

ユーザーデータおよび登録トークンを使ってUbuntuまたはDebian Amazon Web Servicesサーバーをデプロイする