翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AMS AWS Identity and Access Management ロールを使用して Active Directory をフェデレーションする
<a name="federate-dir-with-sent-iam-roles"></a>

ディレクトリを AMS IAM ロールとフェデレーションする目的は、企業のユーザーが企業の認証情報を使用して AWS マネジメントコンソール と AWS APIs、つまり AMS コンソールと APIs とやり取りできるようにすることです。

# フェデレーションプロセスの例
<a name="fed-process-ex"></a>

この例では Active Directory フェデレーションサービス (AD AWS Identity and Access Management FS) を使用していますが、フェデレーションをサポートするすべてのテクノロジーがサポートされています。 AWS サポートされている IAM フェデレーションの詳細については、[「IAM パートナー](https://aws.amazon.com/iam/partners/)と [ID プロバイダーとフェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)」を参照してください。CSDM は、AD チームや AMS との共同作業を含むこのプロセスを支援します。

API アクセスに SAML を統合する方法の詳細については、この AWS ブログ「How [ to Implement Federated API and CLI Access Using SAML 2.0 and AD FS](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS)」を参照してください。

**注記**  
AMS CLI と SAML をインストールする例については、「」を参照してください[付録: ActiveDirectory フェデレーションサービス (ADFS) クレームルールと SAML 設定](apx-adfs-claim-rule-saml.md)。

# AMS コンソールへのフェデレーションの設定 (SALZ)
<a name="fed-with-console"></a>

次の表に詳述されている IAM ロールと SAML ID プロバイダー (信頼されたエンティティ) は、アカウントのオンボーディングの一部としてプロビジョニングされています。これらのロールを使用すると、RFCs、サービスリクエスト、インシデントレポートを送信およびモニタリングし、VPCsとスタックに関する情報を取得できます。


****  

| ロール | ID プロバイダー | アクセス許可 | 
| --- | --- | --- | 
| Customer\$1ReadOnly\$1Role | SAML | 標準 AMS アカウントの場合。RFCs を送信して AMS が管理するインフラストラクチャを変更したり、サービスリクエストやインシデントを作成したりできます。  | 
| Customer\$1managed\$1ad\$1user\$1role | SAML | AMS Managed Active Directory アカウントの場合。AMS コンソールにログインして、サービスリクエストとインシデント (RFCsなし) を作成できます。 | 

異なるアカウントで使用可能なロールの完全なリストについては、「」を参照してください[AMS の IAM ユーザーロール](defaults-user-role.md)。

オンボーディングチームのメンバーは、フェデレーションソリューションから事前設定された ID プロバイダーにメタデータファイルをアップロードします。Shibboleth や Active Directory フェデレーションサービスなどの SAML 互換 IdP (ID プロバイダー) 間の信頼を確立し、組織内のユーザーが AWS リソースにアクセスできるようにする場合は、SAML ID プロバイダーを使用します。IAM の SAML ID プロバイダーは、上記のロールを持つ IAM 信頼ポリシーのプリンシパルとして使用されます。

他のフェデレーションソリューションは AWS の統合手順を提供しますが、AMS には個別の手順があります。次のブログ記事[「Windows Active Directory、AD FS、SAML 2.0 を使用した AWS へのフェデレーションの有効化](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)」と以下の修正により、企業ユーザーは 1 つのブラウザから複数の AWS アカウントにアクセスできます。

ブログ投稿に従って証明書利用者の信頼を作成したら、次の方法でクレームルールを設定します。
+ **NameId**: ブログ記事に従ってください。
+ **RoleSessionName**: 次の値を使用します。
  + **クレームルール名**: RoleSessionName
  + **属性ストア**: Active Directory
  + **LDAP 属性**: SAM-Account-Name
  + **送信クレームタイプ**: https://aws.amazon.com/SAML/Attributes/RoleSessionName
+ AD グループを取得する: ブログ記事に従ってください。
+ ロールクレーム: ブログ記事に従いますが、カスタムルールには以下を使用します。

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

AD FS を使用する場合は、次の表に示す形式でロールごとに Active Directory セキュリティグループを作成する必要があります (customer\$1managed\$1ad\$1user\$1role は AMS Managed AD アカウント専用です）。


****  

| グループ | ロール | 
| --- | --- | 
| AWS-[AccountNo]-Customer\$1ReadOnly\$1Role | Customer\$1ReadOnly\$1Role | 
| AWS-[AccountNo]-customer\$1managed\$1ad\$1user\$1role | Customer\$1managed\$1ad\$1user\$1role | 

詳細については、[「認証レスポンスの SAML アサーションの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。

**ヒント**  
トラブルシューティングに役立つように、ブラウザの SAML トレーサープラグインをダウンロードします。

# AMS へのフェデレーションリクエストの送信
<a name="fed-with-console-submit"></a>

これが最初のアカウントである場合は、CSDM (複数可) または Cloud Architect (複数可) と協力して、ID プロバイダーのメタデータ XML ファイルを提供します。

追加のアカウントまたは ID プロバイダーをオンボーディングしていて、管理アカウントまたは目的のアプリケーションアカウントにアクセスできる場合は、次の手順に従います。

1. AMS コンソールからサービスリクエストを作成し、ID プロバイダーの追加に必要な詳細を指定します。
   + 新しい ID プロバイダーが作成されるアカウントの AccountId。
   + 希望する ID プロバイダー名を指定しない場合、デフォルトは **customer-saml** になります。通常、これはフェデレーションプロバイダーで設定された設定と一致する必要があります。
   + 既存のアカウントの場合、新しい ID プロバイダーを既存のすべてのコンソールロールに伝達するか、新しい ID プロバイダーを信頼するロールのリストを提供するかを含めます。
   + フェデレーションエージェントからサービスリクエストにエクスポートされたメタデータ XML ファイルをファイルアタッチメントとしてアタッチします。

1. サービスリクエストを作成したのと同じアカウントから、以下の情報を含む CT-ID ct-1e1xtak34nx76 (管理 \$1 その他 \$1 その他 \$1 作成) を使用して新しい RFC を作成します。
   + タイトル：「Onboard SAML IDP <Name> for Account <AccountId>」。
   + ID プロバイダーが作成されるアカウントの AccountId。
   + ID プロバイダー名。
   + 既存のアカウントの場合: ID プロバイダーを既存のすべてのコンソールロールに伝達するか、新しい ID プロバイダーを信頼するロールのリストに伝達するか。
   + メタデータ XML ファイルがアタッチされているステップ 1 で作成されたサービスリクエストのケース ID。

# コンソールアクセスの確認
<a name="verify-console-access"></a>

ADFS をセットアップし、認証に使用する AMS URL を取得したら、以下の手順に従います。

Active Directory フェデレーティッドサービス (ADFS) 設定では、以下のステップを実行できます。

1. ブラウザウィンドウを開き、アカウントのサインインページに移動します。アカウントの ADFS **IdpInitiatedSignOn** ページが開きます。

1. **次のいずれかのサイトにサインイン**の横にあるラジオボタンを選択します。**サインイン**サイトのピックリストがアクティブになります。

1. **signin.aws.amazon.com** サイトを選択し、**サインイン**をクリックします。認証情報を入力するためのオプションを開きます。

1. CORP 認証情報を入力し、**サインイン**をクリックします。 AWS マネジメントコンソール が開きます。

1. AMS コンソールの URL をロケーションバーに貼り付け、**Enter** キーを押します。AMS コンソールが開きます。

# API アクセスの検証
<a name="verify-api-access"></a>

AMS は AWS API を使用します。AMS 固有のオペレーションについては、「[AMS API リファレンス](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html)」を参照してください。

AWS には、[Tools](https://aws.amazon.com/tools/) SDKs がいくつか用意されています。SDK を使用しない場合は、直接 API コールを実行できます。認証の詳細については、[「AWS API リクエストの署名](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html)」を参照してください。SDK を使用していない場合、または直接 HTTP API リクエストを行う場合は、変更管理 (CM) および SKMS に AMS CLIs を使用できます。

# AMS CLIs のインストール
<a name="install-cli"></a>

SAML で使用する AWS Managed Services (AMS) CLI をインストールする例については、「」を参照してください[付録: ActiveDirectory フェデレーションサービス (ADFS) クレームルールと SAML 設定](apx-adfs-claim-rule-saml.md)。

一時的なアクセスが必要な場合は、AWS Managed Services (AMS) SDKs[「一時的な AMS コンソールアクセス](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html)」を参照してください。
**注記**  
この手順には管理者認証情報が必要です。

AWS CLI は、AWS Managed Services (AMS) CLIs (変更管理と SKMS) を使用するための前提条件です。

1. AWS CLI をインストールするには、[「AWS コマンドラインインターフェイスのインストール](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)」を参照して、適切な手順に従ってください。このページの下部には、さまざまなインストーラー、[Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html)、[MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html)、[macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html)、[仮想環境](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html)、[バンドルインストーラー (Linux、macOS、または Unix) ](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html)を使用する手順があることに注意してください。

   インストール後、 `aws help`を実行してインストールを確認します。

1. AWS CLI がインストールされたら、AMS CLI をインストールまたはアップグレードするには、AMS **AMS CLI **または **AMS SDK** 配布用 zip ファイルをダウンロードして解凍します。AMS CLI ディストリビューションには、AMS コンソールの左ナビゲーションにある[https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources)リンクからアクセスできます。

1. README ファイルには、インストールの手順が記載されています。

   次のいずれかを開きます。
   + CLI zip: AMS CLI のみを提供します。
   + SDK zip: すべての AMS APIs と AMS CLI を提供します。

   **Windows** の場合は、適切なインストーラ (32 ビットまたは 64 ビットシステムのみ) を実行します。
   + 32 ビット: **ManagedCloudAPI\$1x86.msi**
   + 64 ビット: **ManagedCloudAPI\$1x64.msi**

   **Mac/Linux** の場合は、次のコマンドを実行して **AWSManagedServices\$1InstallCLI.sh** という名前のファイルを実行します。 `sh AWSManagedServices_InstallCLI.sh`**amscm** および **amsskms** ディレクトリとその内容は、**AWSManagedServices\$1InstallCLI.sh** ファイルと同じディレクトリにある必要があります。

1. 企業の認証情報を AWS とのフェデレーション (AMS デフォルト設定) で使用する場合は、フェデレーションサービスにアクセスできる認証情報管理ツールをインストールする必要があります。例えば、この AWS セキュリティブログ How [ to Implement Federated API and CLI Access Using SAML 2.0 and AD FS](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) を使用して、認証情報管理ツールの設定に役立てることができます。

1. インストール後、 `aws amscm help`と `aws amsskms help` を実行してコマンドとオプションを表示します。
**注記**  
これらのコマンドを機能させるには、AMS CLI をインストールする必要があります。AMS API または CLI をインストールするには、AMS コンソール**のデベロッパーリソース**ページに移動します。AMS CM API または AMS SKMS API のリファレンスマテリアルについては、「 ユーザーガイド」の「AMS 情報リソース」セクションを参照してください。認証`--profile`のオプションを追加する必要がある場合があります。たとえば、 です`aws amsskms ams-cli-command --profile SAML`。また、 など、すべての AMS コマンドが us-east-1 を使い果たすため、 `--region`オプションを追加する必要がある場合があります`aws amscm ams-cli-command --region=us-east-1`。

# VPC レベルでの AMS バックアップのスケジュール
<a name="schedule-backups"></a>

ターゲットインスタンスが割り当てられている VPC 内の AWS Managed Services (AMS) バックアップスケジューリングは、VPC 作成スキーマのデフォルトタグを使用してアカウントのオンボーディング中に作成されます。バックアップシステムは、その VPC タグに応じてスナップショットの実行をスケジュールします。スケジュールを変更するには、サービスリクエストを作成します。詳細については、[「VPC タグとデフォルト](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html)」を参照してください。

バックアップのデフォルトについては、[「AMS のデフォルトについて](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)」を参照してください。