AWSのユーザーとグループのアクセス管理について

主に外部ディレクトリで、グループを使用してOktaを複数のAmazon Web Services（AWS）インスタンスに接続することがサポートされています。管理者は、AWSロール固有のグループと管理グループの、2つの論理的な外部ディレクトリグループのセットを使用します。

AWSロール固有のグループ

アクセスを提供する特定のアカウントとロールの組み合わせごとに、外部ディレクトリ内にグループが存在する必要があります。これらのグループを、AWSロール固有のグループと考えます。

ロール固有のグループのメンバーであるユーザーには、1つの特定のAWSアカウント内の、1つの特定のロールへの、単一エンタイトルメントのアクセス権が付与されます。ロール固有のグループは、スクリプトで作成することも、AWSからリストとしてエクスポートすることも、手動で作成することもできます。

各ユーザーを特定のAWSロールグループに割り当ててユーザーアクセスを管理することは、効率的ではありません。代わりに、異なるAWSエンタイトルメントのセットを必要とするorganization内のすべての異なるユーザーセットのために、複数のグループ（管理グループ）を作成します。

これらのグループは、異なる部門固有のグループの形で外部ディレクトリ階層にすでに存在している場合がありますが、AWS専用に作成することもできます。

管理グループは、ユーザーを（［groupMembers（グループメンバー）］として）割り当て、（［Members Of（次のメンバー：）］として）AWSロールグループを通じて特定のエンタイトルメントにこれらのユーザーをマッピングする管理レイヤーです。

外部ディレクトリに管理グループを作成したら、これらのグループを使用して、以下を含むすべての管理タスクを実行します。