AWS Identity and Access Management
ユーザーガイド

ID プロバイダーとフェデレーション

すでにユーザー ID を AWS の外で管理している場合、AWS アカウントに IAM ユーザーを作成する代わりに、IAM ID プロバイダーを利用できます。ID プロバイダー (IdP) を使用すると、AWS の外部のユーザー ID を管理して、これらの外部ユーザー ID にアカウント内の AWS リソースに対するアクセス許可を与えることができます。これは、会社に既に企業ユーザーディレクトリなどの独自の ID システムがある場合に便利です。また、AWS リソースへのアクセスが必要なモバイルアプリやウェブアプリケーションを作成する場合にも便利です。

IdP を使用すると、カスタムサインインコードを作成したり独自のユーザー ID を管理したりする必要がありません。IdP から提供されます。外部ユーザーは Login with Amazon、Facebook、Google、その他多くの有名な ID プロバイダーを介してサインインします。これらの外部 ID に、アカウントの AWS リソースを使用するアクセス許可を与えることができます。ID プロバイダーは、アプリケーションと共に IAM アクセスキーのような長期的セキュリティ認証情報を配布したり組み込んだりする必要がないので、AWS アカウントの安全性の維持に役立ちます。

IdP を使用するには、IAM; ID プロバイダーエンティティを作成して、AWS アカウントと IdP の間に信頼関係を確立します。IAM は、OpenID Connect または SAML 2.0 (Security Assertion Markup Language 2.0) と互換性のある IdP をサポートします。これら IdP の AWS での使用についての詳細は、以下のセクションを参照してください。

IAM で ID プロバイダーエンティティを作成して、互換性のある IdP と AWS 間で信頼関係を確立する方法の詳細については、「IAM ID プロバイダーの作成」を参照してください。