IAM ID プロバイダーの作成
人間のユーザーが AWS にアクセスする際は、一時的な認証情報の使用を必須とすることをお勧めします。AWS IAM Identity Center (successor to AWS Single Sign-On) の使用を検討したことのある場合 IAM Identity Center を使用すると、複数の AWS アカウント へのアクセスを一元的に管理できます。ユーザーには、割り当てられたすべてのアカウントに対する MFA で保護された Single Sign-On によるアクセスを、1 つの場所から提供することができます。IAM Identity Center では、 その内部でユーザー ID の作成および管理を行います。あるいは、既存の SAML 2.0 互換 ID プロバイダーにも簡単に接続することができます。詳細については、「AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイド」の「What is IAM Identity Center?」(IAM Identity Center とは?) を参照してください。
外部 ID プロバイダー (IdP) を使用して、AWS 外のユーザー ID を管理できます。外部 IdP は、OpenID Connect (OIDC) または Security Assertion Markup Language (SAML) のいずれかを使用して ID 情報を AWS に提供できます。よく知られている OIDC ID プロバイダーの例としては、Login with Amazon、Facebook、Google といった認証プロバイダーを挙げることができます。よく知られている SAML ID プロバイダーの例としては、Shibboleth や Active Directory Federation Services を挙げることができます。
外部 IdP サービスとの連携を設定する場合、IAM の ID プロバイダーを作成し、外部 IdP とその設定について AWS に通知します。これにより、AWS アカウント と外部 IdP の間の「信頼」が確立されます。次のトピックでは、IAM の ID プロバイダーを作成する方法について、外部 IdP タイプごとに詳しく説明しています。
