AWSユーザーとグループのアクセス管理
主に外部ディレクトリで、グループを使ってOktaを複数のAmazon Web Services(AWS)インスタンスに接続することがサポートされます。管理者は、AWSロール固有のグループと管理グループの、2つの論理的な外部ディレクトリグループのセットを使用します。
AWSロール固有のグループ
アクセスを提供する特定のアカウントとロールの組み合わせごとに、外部ディレクトリ内にグループが存在する必要があります。これらのグループを、AWSロール固有のグループと考えます。
ロール固有のグループのメンバーであるユーザーには、1つの特定のAWSアカウント内の、1つの特定のロールへの、単一エンタイトルメントのアクセス権が付与されます。ロール固有のグループは、スクリプトを使用することで、AWSからユーザーのリストをエクスポートすることで、またはグループを手動で作成することで作成できます。
管理グループ
各ユーザーを特定のAWSロールグループに割り当ててユーザーアクセスを管理することは、効率的ではありません。代わりに、異なるAWSエンタイトルメントセットを必要とする組織内のすべての異なるユーザーセットのために、グループ管理のグループを作成します。
これらのグループは、異なる部門固有のグループの形で外部ディレクトリ階層に存在する場合がありますが、AWS専用に作成することもできます。
管理グループは、ユーザーを(グループメンバーとして)割り当て、AWSロールグループを通じて(そのグループのメンバーとして)特定のエンタイトルメントにこれらのユーザーをマッピングする管理レイヤーです。
外部ディレクトリに管理グループを作成したら、これらのグループを使用して、次のタスクを含むすべての管理タスクを実行します。
- ユーザーを追加および削除する
- AWSのアカウントとロールへのアクセス権を付与する
- [Members Of(次のメンバー:)]グループプロパティーでAWSロールグループを追加または削除して特定のエンタイトルメントを更新する