AWS Identity and Access Management
ユーザーガイド

ID プロバイダーとフェデレーション

すでにユーザー ID を AWS の外で管理している場合、AWS アカウントに IAM ユーザーを作成する代わりに、IAM ID プロバイダーを利用できます。ID プロバイダー (IdP) を使用すると、AWS の外部のユーザー ID を管理して、これらの外部ユーザー ID にアカウント内の AWS リソースに対するアクセス許可を与えることができます。これは、会社に既に企業ユーザーディレクトリなどの独自の ID システムがある場合に便利です。また、AWS リソースへのアクセスが必要なモバイルアプリやウェブアプリケーションを作成する場合にも便利です。

IAM ID プロバイダーを使用すると、カスタムサインインコードを作成したり独自のユーザー ID を管理したりする必要がありません。IdP では、これらを行うための環境が用意されています。外部ユーザーは、よく知られた IdP (例: Login with Amazon、Facebook、Google) を使用してサインインします。アカウントの AWS リソースを使用するアクセス許可をこのような外部 ID に付与することができます。IAM ID プロバイダーは、アプリケーションで、アクセスキーのような長期的なセキュリティ認証情報を配布したり組み込んだりする必要がないため、AWS アカウントの安全性を維持する上でも役立ちます。

IdP を使用するには、IAM; ID プロバイダーエンティティを作成して、AWS アカウントと IdP の間に信頼関係を確立します。IAM は、OpenID Connect または SAML 2.0 (Security Assertion Markup Language 2.0) と互換性のある IdP をサポートします。これら IdP の AWS での使用についての詳細は、以下のセクションを参照してください。

IAM ID プロバイダーエンティティを作成して、互換性のある IdP と AWS 間で信頼関係を確立する方法の詳細については、「IAM ID プロバイダーの作成」を参照してください。