翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM アイデンティティセンター認証の設定
IAM アイデンティティセンター認証は、 AWS DevOps エージェントスペースウェブアプリケーションへのユーザーアクセスを一元的に管理する方法を提供します。このガイドでは、IAM Identity Center 認証を設定してユーザーを管理する方法について説明します。
前提条件
IAM Identity Center 認証を設定する前に、以下を確認してください。
組織またはアカウントで有効になっている IAM Identity Center
AWS DevOps Agent の管理者権限
エージェントスペースが設定済みまたは作成準備完了
認証オプション
AWS DevOps エージェントには、エージェントスペースウェブアプリケーションにアクセスするための 2 つの認証方法があります。
IAM Identity Center 認証 – 本番環境に推奨されます。一元化されたユーザー管理、外部 ID プロバイダーとの統合、最大 12 時間のセッションを提供します。
管理者アクセス (IAM 認証) – 初期セットアップと設定中に管理者にクイックアクセスを提供します。セッションは 30 分に制限されています。
エージェントスペースの作成中に IAM アイデンティティセンターを設定する
エージェントスペースを作成するときは、アクセスタブで IAM アイデンティティセンター認証を設定できます。
ステップ 1: ウェブアプリ設定に移動する
エージェントスペースの詳細と AWS アカウントアクセスを設定したら、アクセスタブに進みます。
「IAM アイデンティティセンターを接続する」と「管理者アクセス」の 2 つのセクションが表示されます。
ステップ 2: IAM Identity Center 統合を設定する
「〔エージェントスペース] を IAM アイデンティティセンターに接続する」セクションで、次の操作を行います。
IAM Identity Center インスタンスを確認する – コンソールには、ウェブアプリのユーザーアクセスを管理する Identity Center インスタンス ( など) が表示されます
ssoins-7223a9580931edbe。最も近い IAM Identity Center インスタンスは自動的に事前入力されます。IAM Identity Center アプリケーションロール名オプションを選択する – 次の 3 つのオプションのいずれかを選択します。
新しい DevOps エージェントロールを自動作成します (推奨):
システムは、適切なアクセス許可を持つ新しいサービスロールを自動的に作成します。
これは最も簡単なオプションで、ほとんどのユースケースで機能します。
既存のロールを割り当てます。
既に作成した既存の IAM ロールを使用する
システムは、ロールに必要なアクセス許可があることを確認します。
組織に AWS DevOps Agent のロールが事前に作成されている場合は、このオプションを選択します。
ポリシーテンプレートを使用して新しい DevOps エージェントロールを作成します。
提供されたポリシーの詳細を使用して、IAM コンソールで独自のカスタムロールを作成します。
ロールのアクセス許可をカスタマイズする必要がある場合は、このオプションを選択します。
Connect をクリックすると、システムは自動的に次の操作を行います。
指定された IAM ロールを作成または設定します
エージェントスペースの IAM アイデンティティセンターアプリケーションをセットアップします
IAM アイデンティティセンターとエージェントスペースウェブアプリ間の信頼関係を確立します
安全なユーザーアクセスのために OAuth 2.0 認証フローを設定します
代替: 管理者アクセスの使用
IAM アイデンティティセンターを設定せずにエージェントスペースウェブアプリにすぐにアクセスする場合:
管理者アクセスセクションで、管理者アクセスを提供する IAM ロール ARN を書き留めます (例:
arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42)。青い管理者アクセスボタンをクリックして、IAM 認証でエージェントスペースウェブアプリを起動します。
この方法を使用するセッションは 30 分に制限されます
注記
管理者アクセスは、初期設定と設定を目的としています。本番稼働用および継続的なオペレーションの場合は、IAM Identity Center 認証を設定します。
ユーザーとグループの追加
IAM Identity Center 認証を設定したら、特定のユーザーとグループに エージェントスペースウェブアプリへのアクセスを許可する必要があります。
ステップ 1: ユーザー管理にアクセスする
AWS DevOps エージェントコンソールで、エージェントスペースを選択します。
アクセスタブに移動する
ユーザーアクセスで、ユーザーとグループの管理をクリックします。
ステップ 2: ユーザーまたはグループを追加する
ユーザーまたはグループの追加を選択する
IAM Identity Center ディレクトリでユーザーまたはグループを検索する
追加するユーザーまたはグループの横にあるチェックボックスをオンにします。
追加をクリックしてアクセス権を付与する
選択したユーザーは、IAM アイデンティティセンターの認証情報を使用してエージェントスペースウェブアプリにアクセスできるようになりました。
外部 ID プロバイダーの使用
IAM アイデンティティセンターで外部 ID プロバイダー (Okta、Microsoft Entra ID、Ping Identity など) を使用している場合:
ユーザーとグループは、外部 ID プロバイダーから IAM アイデンティティセンターに同期されます。
エージェントスペースウェブアプリにユーザーとグループを追加すると、同期されたディレクトリから選択されます。
ユーザー属性とグループメンバーシップは、外部 ID プロバイダーによって維持されます。
ID プロバイダーの変更は、同期後に IAM アイデンティティセンターに自動的に反映されます。
ユーザーが エージェントスペースウェブアプリにアクセスする方法
エージェントスペースにユーザーを追加した後:
エージェントスペースのウェブアプリ URL を承認されたユーザーと共有する
ユーザーが URL に移動すると、IAM Identity Center のログインページにリダイレクトされます。
認証情報を入力する (設定されている場合は MFA を完了する) と、エージェントスペースウェブアプリにリダイレクトされます。
セッションはデフォルトで 8 時間有効です (Identity Center 管理者が設定可能)
ユーザーアクセスの管理
ユーザーアクセスはいつでも更新できます。
ユーザーまたはグループの追加:
上記と同じ手順に従って、ユーザーまたはグループを追加します。
アクセスの削除:
ユーザーアクセスセクションで、削除するユーザーまたはグループを見つけます。
名前の横にある削除ボタンをクリックします。
削除を確認する
削除されたユーザーはすぐにアクセスできなくなりますが、アクティブなセッションは有効期限が切れるまで継続される場合があります。
セッション管理
エージェントスペースウェブアプリの IAM Identity Center セッションには、次の特性があります。
デフォルトのセッション期間 – 8 時間
セッションセキュリティ – 保護を強化するための HTTP 専用 Cookie
多要素認証 – IAM Identity Center で設定されている場合にサポートされます
API 認証情報 – API コールに対して短時間 (15 分) SigV4 認証情報が発行され、自動的に更新されます。
セッション期間を設定するには:
IAM Identity Center コンソールに移動する
設定 > 認証に進む
セッション期間で、希望する期間 (1 時間から 12 時間) を設定します。
[変更を保存] を選択します。
Identity Center の切断
エージェントスペースのコンソールで、右上のアクションをクリックし、IAM アイデンティティセンターから切断を選択します。
確認ダイアログで確認する
