目次

AWSアカウントの外部IDを管理する

このページのトピック
外部IDについて
外部IDを設定する
外部IDを更新する
外部IDを取得する
外部IDの取得を無効にする

AWSアカウントの外部IDは、 がクロスアカウントロールを使用してAWSアカウントを追加した場合にのみ使用されます。

トピック:

外部IDについて

クロスアカウントロールのARNに加えて、外部IDは1つのAWSロールから別のAWSロールへのアクセスを許可するために使用されます。外部IDは、アカウントの役割を引き受けたいサードパーティのサービスによって提供されます。そのサービスが自分の代わりに機能することを信頼する場合は、その外部IDをクロスアカウントの役割に追加します。この場合、 Workload Security は、AWSアカウントに代わって外部IDを提供するサードパーティのサービスです。Workload Security では、このアクセス権を使用してAWSアカウントの情報を同期し、リソースの最新レコードを保持します。詳細については、次のAWSドキュメントを参照してください: AWSリソースへのアクセスを許可する際に外部IDを使用する方法

次の点に注意してください。

  • 外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
  • 同じ外部IDが、クロスアカウントの役割を使用して追加されたすべてのAWSアカウントに使用されます。

外部IDを設定する

外部IDを設定することは、クロージャアカウントの役割を追加するプロセスの一歩です。詳細については、 クロスアカウントロール を使用したAWSアカウントの追加を参照してください。

外部IDを更新する

以前にAWSアカウントを追加した場合クロスアカウントロールを使用するユーザ指定の外部IDが指定されている可能性があります。AWSのベストプラクティスに合わせて、 Workload Security定義の外部IDに切り替えることをお勧めします。

以前にユーザ定義の外部IDを使用して追加されたAWSアカウントは、引き続き通常どおり機能します。

ユーザ定義のIDとマネージャ定義の外部IDのどちらを使用しているかを判断する

ユーザ定義の外部IDとマネージャ定義の外部IDのどちらを使用しているか不明な場合は、次の手順を実行します。
1. Workload Securityにログインします。
2. コンピュータをクリックします。
3. クロスアカウントロールを使用して追加されたAWSアカウントを右クリックし、[プロパティ]を選択します。
4. 外部IDの横に アップデート リンクが表示されている場合は、ユーザ指定の外部IDが現在使用中であるため、アップデートする必要があります。 Update リンクが表示されない場合は、 Workload Security定義の外部IDが現在使用されているため、処理は必要ありません。
5. クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。

外部IDをWorkload Securityコンソールからアップデートする
  1. まだ Workload Securityにログオンしていない場合は、アップデートするAWSアカウントを右クリックして、[ Properties]を選択します。
    1. 外部IDの横に表示される アップデート リンクをクリックします。アップデート リンクが表示されなくなります。
    2. 外部IDを書き留めます。次の手順でクロスアカウントロールを設定するときに必要になります。
    3. 外部IDが更新されたAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。
    4. プロパティ画面に戻り、[ 適用 ]をクリックして変更を適用します。
      アカウントのユーザ定義の外部IDが Workload Securityで定義されたIDにアップデートされました。
    5. クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。
外部IDをWorkload Security APIを使用してアップデートする
  1. 新しいマネージャ定義の外部IDがまだない場合は、 /api/awsconnectorsettings エンドポイントでそのIDを取得します( ExternalId パラメータ)。
  2. クロスアカウントロールが設定されているAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。クロスアカウントロールを使用して、 Workload Security に追加されたアカウントごとにこの手順を繰り返します。
  3. /api/awsconnectors エンドポイントを使用して、更新中のアカウントで Update action を実行します。その CrossAccountRoleARN パラメータは、現在のARNと同じ役割に設定されます。要求オブジェクトに外部IDを指定しないでください。
    アカウントのユーザ定義の外部IDが Workload Securityで定義されたIDにアップデートされました。

外部IDを取得する

クロスアカウントで使用する外部IDを取得するには、いくつかの方法があります。

アカウントの追加ウィザードを使用すると
  • のクロスアカウントロール を使用したAWSアカウントの追加を参照してください。ここでは、ウィザードを使用して外部IDを取得する方法について説明します。
Workload Security APIを使用すると
  • /api/awsconnectorsettings エンドポイントを呼び出して取得します( ExternalId パラメータ)。

外部IDの取得を無効にする

Workload Security コンソールで外部IDを表示および取得する機能を無効にして、不正なアクセスを防ぐことができます。IDを一度取得して、秘密管理者などの安全な場所に保存してから、他のすべてのユーザの検索を無効にすることができます。

いつでも検索を有効にすることができます。

外部IDの取得を無効にすると、AWSアカウントを追加する クイックセットアップ メソッドも無効になります。 {: .warning }

検索を無効にするには

  1. Workload Securityにログインします。
  2. 上部の [管理] をクリックします。
  3. メイン画面で、[ セキュリティ ]タブをクリックします。
  4. [AWS外部IDの取得と表示を有効にする] の選択を解除します。
  5. [Save] をクリックします。

役割を使用して外部IDへのアクセスを禁止することもできます。詳細については、 ユーザのロールの定義を参照してください。