外部ディレクトリにAWSロールグループを作成する
各Amazon Web Services(AWS)アカウントにアクセスするには、これらの各アカウントのAWSロールごとに外部ディレクトリにグループを作成する必要があります。フィルターは、これらのグループ名を使って対応するAWSロールに関連付けます。
-
次のいずれかの方法を使用して、ディレクトリにAWSロール固有のグループを作成します。
-
スクリプトを実行して、各アカウントのロールごとに外部ディレクトリグループを作成します
このオプションを使用すると自動化の可能性が最も高くなりますが、スクリプトを構成するにはAWS管理チームと外部ディレクトリ管理チームの間で調整する必要があります。
-
AWSからのCSVファイルのエクスポート
AWSと外部ディレクトリの間のスクリプトによるアプローチが不可能な場合は、よりシンプルアプローチによって各AWSアカウントのロール名のリストをCSVファイルにエクスポートできるかもしれません。その上で、外部ディレクトリ管理チームにリストを提供できます。そこからは、チームはAWSロールグループの作成を管理できます。なんらかの依存関係や、AWSアカウント自体との直接統合は必要はありません。
-
外部ディレクトリでのAWSロールグループの手動作成
これが最もシンプルな方式です。ただし、各アカウントの各ロールについて外部ディレクトリにグループを作成するには、維持管理と十分なセットアップ時間が必要です。
-
-
AWSロールに関連付けられるすべてのAWSロール固有のグループを含めるために、ディレクトリに組織単位(OU)を作成します(たとえば、 AWS Role Groups、AWS Entitlements)。
-
標準の構文を使用して、ロールごとに外部ディレクトリのセキュリティグループを作成します。
推奨される構文:
aws#[account alias]#[role name]#[account #]例:
aws#northamerica-production#Tier1_Support#828416469395AWS関連グループをフィルタリングしてアカウントIDとロールを抽出するために、正規表現も使用できます。
例:
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)
独自のグループ構文を使用する場合は、アカウントのエイリアス、ロール名、アカウント番号を含めて、それぞれの間に認識可能な区切り文字を入れてください。カスタムの正規表現式も作成する必要があります。