外部ディレクトリーにAWSロール・グループを作成する

各Amazon Web Services(AWS)アカウントにアクセスするには、これらの各アカウントのAWSロールごとに外部ディレクトリーにグループを作成する必要があります。これらのグループ名は、対応するAWSロールに関連付けるためにフィルターによって使用されます。

  1. 次のいずれかの方法を使用して、ディレクトリーにAWSロール固有のグループを作成します。

    • スクリプトを実行して、各アカウントのロールごとに外部ディレクトリー・グループを作成します。

      このオプションを使用すると自動化の可能性が最も高くなりますが、スクリプトを構成するにはAWS管理チームと外部ディレクトリー管理チームの間で調整する必要があります。

    • AWSからのCSVファイルのエクスポート

      AWSと外部ディレクトリーの間のスクリプトによるアプローチが不可能な場合は、より軽量なアプローチとして、各AWSアカウントのロール名のリストをCSVファイルにエクスポートし、外部ディレクトリー管理チームに提供することができます。そこからAWSロール・グループの作成を管理できますが、依存関係を設定したり、AWSアカウント自体と直接統合したりする必要はありません。

    • 外部ディレクトリーでのAWSロール・グループの手動作成

      これは最も単純な方法です。ただし、各アカウントの各ロールについて外部ディレクトリーにグループを作成するには、維持管理と十分な設定時間が必要です。

  1. AWSロールに関連付けられるすべてのAWSロール固有のグループを含めるために、ディレクトリーに組織単位(OU)を作成します。たとえば、AWS Role GroupsAWS Entitlementsとします。

  2. 標準の構文を使用して、ロールごとに外部ディレクトリーのセキュリティー・グループを作成します。

    推奨される構文:

    aws#[account alias]#[role name]#[account #]

    例:

    aws#northamerica-production#Tier1_Support#828416469395

    AWS関連グループをフィルタリングしてアカウントIDとロールを抽出するために、正規表現も使用できます。

    例:

    aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)

独自のグループ構文を使用する場合は、アカウントのエイリアス、ロール名、アカウント番号を含めて、それぞれの間に認識可能な区切り文字を入れてください。カスタムの正規表現式も作成する必要があります。 外部ディレクトリーにAWSロール・グループを作成するを参照してください。

次の手順

管理グループを作成してユーザーをAWSのアカウントとロールにマッピングする