サポートする機能
アカウント削除
アカウント作成
事前準備
Amazon Web Servicesへのログイン方法
AWSのログインページにアクセスし、ルートユーザーもしくはIAMユーザーでログインします。
連携用ポリシーの作成方法
- Identity and Access Management (IAM)にアクセスし、左メニューのポリシーにアクセス、[ポリシーの作成] をクリックします。
- ポリシーの作成画面で、
JSONタブをクリックし、次のスクリプトを上書きします。
ロールの LastActivityを取得する場合、ポリシーのスクリプト”iam:ListRoles”,の下に"iam:GetRole",を追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:GetAccessKeyLastUsed",
"iam:ListAccessKeys",
"iam:ListAttachedUserPolicies",
"iam:ListGroupsForUser",
"iam:ListMFADevices",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:GetRole",
"iam:ListUsers",
"iam:ListUserTags",
"iam:DeleteUser",
"iam:DeleteAccessKey",
"iam:DeleteRole",
"iam:ListAttachedRolePolicies",
"iam:DetachRolePolicy",
"iam:DeleteLoginProfile",
"iam:ListAttachedUserPolicies",
"iam:DetachUserPolicy",
"iam:CreateUser",
"iam:TagUser",
"iam:ListUserPolicies",
"account:GetContactInformation"
],
"Resource": "*"
}
]
}
Adminaからのアカウント削除および、追加する機能が不要な場合(Read Only)、次のスクリプトをご利用ください。ロールの LastActivityを取得する場合、ポリシーのスクリプト”iam:ListRoles”,の下に"iam:GetRole",を追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:GetAccessKeyLastUsed",
"iam:ListAccessKeys",
"iam:ListAttachedUserPolicies",
"iam:ListGroupsForUser",
"iam:ListMFADevices",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:GetRole",
"iam:ListUsers",
"iam:ListUserTags",
"iam:ListAttachedRolePolicies",
"iam:ListAttachedUserPolicies",
"iam:TagUser",
"iam:ListUserPolicies",
"account:GetContactInformation"
],
"Resource": "*"
}
]
}
- 入力完了後、「次へ」をクリックします。
- 次の画面でポリシー名に任意の名前を入力し、[ポリシーの作成]をクリックします。これでポリシーの作成が完了です。
連携用ロールの作成方法
- Identity and Access Management (IAM)にアクセスし、左メニューのロールにアクセスし、[ロールを作成] をクリックします。
ロールのLastActivityは取得できません。
- 信頼されたエンティティを選択では、次のように各値を入力します。
- 信頼されたエンティティタイプ:AWSアカウントを選択
- AWSアカウント:「別のAWSアカウント」を選択し、アカウントIDに
162001151631と入力します。
- **外部 ID を要求する (サードパーティがこのロールを引き受ける場合のベストプラクティス)**にチェック
- 外部IDには
ランダムな英数字(記号を除く24桁以上推奨)を入力します。
- MFAが必要のチェックは外してください。
入力完了後、次へをクリックします。
- 許可を追加画面が表示されますので、前項で作成したポリシー選択し画面を下にスクロール後、[次へ]をクリックします。
- ロールの名前(任意)を設定し、下にスクロール後、「ロールを作成」ボタンをクリックします。これでロールの作成が完了しました。
Role ARNの確認方法
ロール画面で作成したロールを検索して表示、クリックします。
Role ARNが表示されるので、コピーして保存しておきます。
インテグレーションのセットアップ
- マネーフォワード Adminaのインテグレーション画面にて、AWS IAMで検索します。
- 前の手順で取得したRole ARNおよび、ロール作成時に設定した外部IDを入力します。
- パーミッションを選択します。
連携時にロールを取得しない場合は、[Read And Write(ロールを除く)]を選択します。
- 入力内容を確認して、[連携する]をクリックします。
- AWSとの連携に成功すると、アカウント一覧に登録済みのユーザー情報が表示されます。
正常に完了しない場合は、インテグレーション画面のステータスタブから編集し、再度連携をお試しください。
解決しない場合はチャットにてお問い合わせください。
AWSの連携概要については連携ページをご覧ください。
補足:メールアドレスの取得
AWSはデフォルトではメールアドレスを取得しないサービスのため、ユーザータイプは「不明」もしくは「システム」で取得します。
メールアドレスの取得するためには、以下のいずれかの方法をご利用ください。
- アカウントマージ機能の利用
ユーザータイプの付与が可能となり、より正確な退職者管理が可能となります。
- タグを利用し、IAMユーザーに直接メールアドレスを付与する。
タグキーにemail、タグ値にメールアドレスを付与することで、マネーフォワード Adminaがメールアドレスを取得します。
