管理グループを作成してユーザーをAWSのアカウントとロールにマッピングする

ユーザーのセットと、ユーザーがアクセスする特定のAWSのアカウントとロールの間にリンクを確立するには、外部ディレクトリー・グループの別のセットを作成する必要があります。管理グループは、AWSエンタイトルメントへのユーザー・アクセスを管理するための主要な方法です。

Oktaグループを使用している場合、この手順を完了する必要はありません。 Oktaでグループベースのロール・マッピングを有効にするを参照してください。

  1. AWSユーザー・エンタイトルメントを管理するための既存のグループがない場合は、次のタスクを完了します。

    • AWS管理グループの組織単位(OU)をディレクトリーに作成します。これらのグループは、ディレクトリー内のどこに配置されていてもかまいません。

    • 異なるAWSのロールとアカウントのセットを必要とするユーザーの集団ごとにグループを作成します。グループにわかりやすい名前を付けます。例:Tier 1 AWS SupportDatabase AdminsAWS Super Admins

  2. 各管理グループを、アクセスする必要がある1つまたは複数のAWSロール・グループに割り当てます。これにより、管理グループと、グループ・ユーザーがアクセスする必要があるすべてのAWSアカウントのエンタイトルメントの間にリンクが確立されます。

  3. 各管理グループについて、[DevOpsシステム管理者のプロパティ]ダイアログ・ボックスの[次のメンバー:]タブで、AWSエンタイトルメントを追加、削除、変更、または監査します。
  4. [DevOpsシステム管理者のプロパティ]ダイアログ・ボックスの[メンバー]タブで、個々のユーザーを管理グループに割り当てて、AWSロール・グループのメンバーにします。

次の手順

AWSのロールと管理グループをOktaにインポートする