管理グループを作成してユーザーをAWSのアカウントとロールにマッピングする
ユーザーのセットと、ユーザーがアクセスする特定のAWSのアカウントとロールの間にリンクを確立するには、外部ディレクトリー・グループの別のセットを作成する必要があります。管理グループは、AWSエンタイトルメントへのユーザー・アクセスを管理するための主要な方法です。
Oktaグループを使用している場合、この手順を完了する必要はありません。 Oktaでグループベースのロール・マッピングを有効にするを参照してください。
-
AWSユーザー・エンタイトルメントを管理するための既存のグループがない場合は、次のタスクを完了します。
-
AWS管理グループの組織単位(OU)をディレクトリーに作成します。これらのグループは、ディレクトリー内のどこに配置されていてもかまいません。
-
異なるAWSのロールとアカウントのセットを必要とするユーザーの集団ごとにグループを作成します。グループにわかりやすい名前を付けます。例:Tier 1 AWS Support、Database Admins、AWS Super Admins
-
-
各管理グループを、アクセスする必要がある1つまたは複数のAWSロール・グループに割り当てます。これにより、管理グループと、グループ・ユーザーがアクセスする必要があるすべてのAWSアカウントのエンタイトルメントの間にリンクが確立されます。
- 各管理グループについて、[DevOpsシステム管理者のプロパティ]ダイアログ・ボックスの[次のメンバー:]タブで、AWSエンタイトルメントを追加、削除、変更、または監査します。
- [DevOpsシステム管理者のプロパティ]ダイアログ・ボックスの[メンバー]タブで、個々のユーザーを管理グループに割り当てて、AWSロール・グループのメンバーにします。