ID プロバイダーとフェデレーション - AWS Identity and Access Management

ID プロバイダーとフェデレーション

既にユーザー ID を AWS の外で管理している場合、AWS アカウント に IAM ユーザーを作成する代わりに、IAM ID プロバイダーを利用できます。ID プロバイダー (IdP) を使用すると、AWS の外部のユーザー ID を管理して、これらの外部ユーザー ID にアカウント内の AWS リソースに対するアクセス許可を与えることができます。これは、会社に既に企業ユーザーディレクトリなどの独自の ID システムがある場合に便利です。また、AWS リソースへのアクセスが必要なモバイルアプリやウェブアプリケーションを作成する場合にも便利です。

注記

セキュリティ上のベストプラクティスとして、IAM ユーザーを作成する代わりに、ID フェデレーションを使用して IAM Identity Center でユーザーアクセスを管理することをお勧めします。IAM ユーザーが必要な特定の状況についての情報は、「IAMユーザー (ロールの代わりに) を作成する場合」を参照してください。

IAM ID プロバイダーを使用すると、カスタムサインインコードを作成したり独自のユーザー ID を管理したりする必要がありません。IdP では、これらを行うための環境が用意されています。外部ユーザーは、よく知られた IdP (例: Login with Amazon、Facebook、Google) を使用してサインインします。これらの外部 ID に、アカウントの AWS リソースを使用するアクセス許可を与えることができます。IAM ID プロバイダーは、アクセスキーなどの長期的セキュリティ認証情報をアプリケーションに配布したり組み込んだりする必要がないので、AWS アカウント の安全性の維持に役立ちます。

IdP を使用するには、IAM ID プロバイダーエンティティを作成して、AWS アカウント と IdP の間に信頼関係を確立します。IAMは、OpenID Connect (OIDC) または SAML 2.0 (Security Assertion Markup Language 2.0) と互換性のある IdP をサポートします。これら IdP の AWS での使用についての詳細は、以下のセクションを参照してください。

IAM ID プロバイダーエンティティを作成して、互換性のある IdP と AWS 間で信頼関係を確立する方法の詳細については、「IAM ID プロバイダーの作成」を参照してください。