AWSロールの信頼できるソースとしてOktaを追加する

OktaをAmazon Web Services（AWS）（AWS）アカウントIDプロバイダーとして構成した後は、Oktaで取得されてユーザーに割り当てられるIAMロールを作成するか、既存のものを更新します。Oktaでは、「SAML SSO用にAWSのアカウントとロールを構成する」で構成したOkta SAML IDプロバイダーへのアクセス権を付与するように構成されたロールを持つユーザーにのみ、シングルサインオン（SSO）を提供できます。

• 既存のロールにSSOアクセスを許可する
• 新しいロールにSSOアクセスを許可する

既存のロールにSSOアクセスを許可する

1. AWS Management Consoleで、左ペインのロール（Roles）をクリックします。

2. Okta SSOアクセスを許可するロールを選択します。

3. ロールの信頼関係（Trust Relationship）タブを選択し、信頼関係を編集（Edit Trust Relationship）をクリックします。

4. 以前に構成したSAML IDPを使用してOktaへのSSOを許可するように、IAM信頼関係ポリシーを変更します。

   ポリシードキュメントが空の場合、提供されているポリシーをコピーして貼り付け、<COPY & PASTE SAML ARN VALUE HERE>をAmazonリソースネーム（ARN）に置き換えることができます。

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "<COPY & PASTE SAML ARN VALUE HERE>"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

現在の信頼関係がある場合は、既存のポリシードキュメントを変更して、Okta SSOアクセスも含める必要がある場合があります。少なくとも、Statementコードブロック内にはすべてを含める必要があります。

新しいロールにSSOアクセスを許可する

1. AWS Management Consoleで、左ペインの［Roles（ロール）］をクリックします。

2. ロール（Roles） > ロールを作成（Create Role）に移動します。

3. 信頼できるエンティティの[SAML 2.0 federation（SAML 2.0フェデレーション）]のタイプを使用します。

4. SAMLプロバイダーとしてOkta（IDプロバイダーの名前）を選択し、［Allow programmatic and AWS Management Console access（プログラムによるアクセスとAWS Management Consoleによるアクセスを許可する）］を選択して、［Permissions（権限）］に進みます。

5. 作成するロールに割り当てる任意のポリシーを選択します。

6. ロールの構成を完了（Finish Role）します。

次の手順

AWS APIアクセスキーを生成する