AWSのユーザーとグループのアクセス管理について

主に外部ディレクトリーで、グループを使用してOktaを複数のAmazon Web Services(AWS)インスタンスに接続することがサポートされています。管理者は、AWSロール固有のグループと管理グループの、2つの論理的な外部ディレクトリー・グループのセットを使用します。

AWSロール固有のグループ

アクセスを提供する特定のアカウントとロールの組み合わせごとに、外部ディレクトリー内にグループが存在する必要があります。これらのグループを、AWSロール固有のグループと考えます。

ロール固有のグループのメンバーであるユーザーには、1つの特定のAWSアカウント内の、1つの特定のロールへの、単一エンタイトルメントのアクセス権が付与されます。ロール固有のグループは、スクリプトで作成することも、AWSからリストとしてエクスポートすることも、手動で作成することもできます。

管理グループ

各ユーザーを特定のAWSロール・グループに割り当ててユーザー・アクセスを管理することは、効率的ではありません。代わりに、異なるAWSエンタイトルメントのセットを必要とする組織内のすべての異なるユーザー・セットのために、複数のグループ(管理グループ)を作成します。

これらのグループは、異なる部門固有のグループの形で外部ディレクトリー階層にすでに存在している場合がありますが、AWS専用に作成することもできます。

管理グループは、ユーザーを([グループ・メンバー]として)割り当て、([次のメンバー:]として)AWSロール・グループを通じて特定のエンタイトルメントにこれらのユーザーをマッピングする管理レイヤーです。

外部ディレクトリーに管理グループを作成したら、これらのグループを使用して、以下を含むすべての管理タスクを実行します。

  • ユーザーを追加および削除する
  • AWSのアカウントとロールへのアクセス権を付与する
  • [次のメンバー:]グループ・プロパティーでAWSロール・グループを追加または削除して特定のエンタイトルメントを更新する