外部ディレクトリにAWSロールグループを作成する

Amazon Web Services(AWS)アカウントにアクセスするには、これらの各アカウントのAWSロールごとに外部ディレクトリにグループを作成する必要があります。これらのグループ名は、対応するAWSロールに関連付けるためにフィルターによって使用されます。

  1. 次のいずれかの方法を使用して、ディレクトリにAWSロール固有のグループを作成します。

    • スクリプトを実行して、各アカウントのロールごとに外部ディレクトリグループを作成します。

      このオプションを使用すると自動化の可能性が最も高くなりますが、スクリプトを構成するにはAWS管理チームと外部ディレクトリ管理チームの間で調整する必要があります。

    • AWSからのCSVファイルのエクスポート

      AWSと外部ディレクトリの間のスクリプトによるアプローチが不可能な場合は、より軽量なアプローチとして、各AWSアカウントのロール名のリストをCSVファイルにエクスポートし、外部ディレクトリ管理チームに提供することができます。そこからAWSロールグループの作成を管理できますが、依存関係を設定したり、AWSアカウント自体と直接統合したりする必要はありません。

    • 外部ディレクトリでのAWSロールグループの手動作成

      これは最も単純な方法です。ただし、各アカウントの各ロールについて外部ディレクトリにグループを作成するには、維持管理と十分な設定時間が必要です。

  1. AWSロールに関連付けられるすべてのAWSロール固有のグループを含めるために、ディレクトリに組織単位(OU)を作成します。たとえば、AWS Role GroupsAWS Entitlementsとします。

  2. 標準の構文を使用して、ロールごとに外部ディレクトリのセキュリティグループを作成します。

    推奨される構文:

    aws#[account alias]#[role name]#[account #]

    例:

    aws#northamerica-production#Tier1_Support#828416469395

    AWS関連グループをフィルタリングしてアカウントIDとロールを抽出するために、正規表現も使用できます。

    例:

    aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)

独自のグループ構文を使用する場合は、アカウントのエイリアス、ロール名、アカウント番号を含めて、それぞれの間に認識可能な区切り文字を入れてください。カスタムの正規表現式も作成する必要があります。

次の手順

管理グループを作成してユーザーをAWSのアカウントとロールにマッピングする