このページのトピック
AWSアカウントの外部IDを管理する
AWSアカウントの外部IDは、 がクロスアカウントロールを使用してAWSアカウントを追加した場合にのみ使用されます。
トピック:
外部IDとは何ですか。
クロスアカウントロールのARNに加えて、外部IDは1つのAWSロールから別のAWSロールへのアクセスを許可するために使用されます。外部IDは、アカウントの役割を引き受けたいサードパーティのサービスによって提供されます。そのサービスが自分の代わりに機能することを信頼する場合は、その外部IDをクロスアカウントの役割に追加します。この場合、 Workload Security は、AWSアカウントに代わって外部IDを提供するサードパーティのサービスです。Workload Security では、このアクセス権を使用してAWSアカウントの情報を同期し、リソースの最新レコードを保持します。詳細については、次のAWSドキュメントを参照してください: AWSリソースへのアクセスを許可する際に外部IDを使用する方法。
注意:
- 外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
- 同じ外部IDが、クロスアカウントの役割を使用して追加されたすべてのAWSアカウントに使用されます。
外部IDを設定する
外部IDを設定することは、クロージャアカウントの役割を追加するプロセスの一歩です。詳細については、 クロスアカウントロール を使用したAWSアカウントの追加を参照してください。
外部IDを更新する
以前にAWSアカウントを追加した場合クロスアカウントロールを使用するユーザ指定の外部IDが指定されている可能性があります。AWSのベストプラクティスに合わせて、 Workload Security定義の外部IDに切り替えることをお勧めします。
以前にユーザ定義の外部IDで追加されたAWSアカウントは引き続き通常どおりに機能します。
ユーザ定義のIDとマネージャ定義の外部IDのどちらを使用しているかを判断する
現在、ユーザ定義IDかマネージャ定義外部IDのどちらが使用されているかわからない場合は、次の手順に従って確認してください。
1. Workload Securityにログインします。
2. コンピュータをクリックします。
3.クロスアカウントロールを使用して追加されたAWSアカウントを右クリックし、[ プロパティ ]を選択します。
4.外部IDの横に アップデート リンクが表示されている場合は、ユーザ指定の外部IDが現在使用中であるため、アップデートする必要があります。 Update リンクが表示されない場合は、 Workload Security定義の外部IDが現在使用されているため、処理は必要ありません。
5.クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。
外部IDをWorkload Securityコンソールからアップデートする
1.まだ Workload Securityにログオンしていない場合は、アップデートするAWSアカウントを右クリックして、[ Properties]を選択します。
2. 外部IDの横に表示される アップデート リンクをクリックします。アップデート リンクが表示されなくなります。
3.外部IDをメモします。次の手順でクロスアカウントの役割を設定する必要があります。
4.外部IDが更新されたAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。
5.プロパティ画面に戻り、[ 適用 ]をクリックして変更を適用します。
アカウントのユーザ定義の外部IDが Workload Securityで定義されたIDにアップデートされました。
6.クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。
外部IDをWorkload Security APIを使用してアップデートする
1.新しいマネージャ定義の外部IDがまだない場合は、 /api/awsconnectorsettings
エンドポイントでそのIDを取得します( ExternalId
パラメータ)。
2.クロスアカウントロールが設定されているAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。クロスアカウントロールを使用して、 Workload Security に追加されたアカウントごとにこの手順を繰り返します。
3. /api/awsconnectors
エンドポイントを使用して、更新中のアカウントで Update action
を実行します。その CrossAccountRoleARN
パラメータは、現在のARNと同じ役割に設定されます。要求オブジェクトに外部IDを指定しないでください。
アカウントのユーザ定義の外部IDが Workload Securityで定義されたIDにアップデートされました。
外部IDを取得する
クロスアカウントで使用する外部IDを取得するには、いくつかの方法があります。
アカウントの追加ウィザードを使用すると
- のクロスアカウントロール を使用したAWSアカウントの追加を参照してください。ここでは、ウィザードを使用して外部IDを取得する方法について説明します。
Workload Security APIを使用すると
/api/awsconnectorsettings
エンドポイントを呼び出して取得します(ExternalId
パラメータ)。
外部IDの取得を無効にする
Workload Security コンソールで外部IDを表示および取得する機能を無効にして、不正なアクセスを防ぐことができます。IDを一度取得して、秘密管理者などの安全な場所に保存してから、他のすべてのユーザの検索を無効にすることができます。
いつでも検索を有効にすることができます。
外部IDの取得を無効にすると、AWSアカウントを追加する クイックセットアップ メソッドも無効になります。
検索を無効にするには
- Workload Securityにログインします。
- 上部の [管理] をクリックします。
- メイン画面で、[ セキュリティ ]タブをクリックします。
- [AWS外部IDの取得と表示を有効にする]の選択を解除します。
- [Save] をクリックします。
役割を使用して外部IDへのアクセスを禁止することもできます。詳細については、 ユーザのロールの定義を参照してください。