管理グループを作成してユーザーをAWSのアカウントとロールにマッピングする
ユーザーのセットと、ユーザーがアクセスする特定のAWSのアカウントとロールの間にリンクを確立するには、外部ディレクトリグループの別のセットを作成する必要があります。管理グループは、AWSエンタイトルメントへのユーザーアクセスを管理するための主要な方法です。
Oktaグループを使用している場合、この手順を完了する必要はありません。「Oktaでグループベースのロールマッピングを有効にする」を参照してください。
-
AWSユーザーエンタイトルメントを管理するための既存のグループがない場合は、次のタスクを完了します。
-
AWS管理グループの組織単位(OU)をディレクトリに作成します。これらのグループは、ディレクトリ内のどこに配置されていてもかまいません。
-
異なるAWSのロールとアカウントのセットを必要とするユーザーの集団ごとにグループを作成します。グループにわかりやすい名前を付けます。例:Tier 1 AWS Support、Database Admins、AWS Super Admins
-
-
各管理グループを、アクセスする必要がある1つまたは複数のAWSロールグループに割り当てます。これにより、管理グループと、グループユーザーがアクセスする必要があるすべてのAWSアカウントのエンタイトルメントの間にリンクが確立されます。
- 各管理グループについて、[DevOps Sys Admins Properties(DevOpsシステム管理者のプロパティ)]ダイアログボックスの[Members Of(次のメンバー:)]タブで、AWSエンタイトルメントを追加、削除、変更、または監査します。
- [DevOps Sys Admins Properties(DevOpsシステム管理者のプロパティ)]ダイアログボックスの[Members(メンバー)]タブで、個々のユーザーを管理グループに割り当てて、AWSロールグループのメンバーにします。