翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center に関する考慮事項
以下のトピックには、特定の環境用に IAM Identity Center を設定するためのガイダンスが記載されています。パート 2: IAM Identity Center での管理ユーザーの作成 に進む前に、ご使用の環境に適用されるガイダンスを理解してください。
Active Directory または外部 IdP
Active Directory または外部 IdP ですでにユーザーとグループを管理している場合は、IAM Identity Center を有効にして ID ソースを選択する際に、この ID ソースの接続を検討することをお勧めします。デフォルトの Identity Center ディレクトリでユーザーやグループを作成する前に接続しておくと、後から ID ソースを変更する場合に必要となる追加の設定を回避できます。
Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。
-
を使用している場合は AWS Managed Microsoft AD、 AWS Managed Microsoft AD ディレクトリがセットアップされている AWS リージョン のと同じ で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、 AWS アクセスポータルは ディレクトリと同じアクセス URL を使用することに注意してください。
-
管理アカウントにある Active Directory を使用してください。
に既存の AD Connector または AWS Managed Microsoft AD ディレクトリを設定し AWS Directory Service、 AWS Organizations 管理アカウント内に存在する必要があります。 AWS Managed Microsoft AD 一度に接続できる AD Connector は 1 つだけです。複数のドメインやフォレストをサポートする必要がある場合は、 AWS Managed Microsoft ADを使用してください。詳細については、以下を参照してください。
-
AWS IAM Identity Center ユーザーガイドの「 のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続します。
-
「AWS IAM Identity Center ユーザーガイド」の IAM Identity Center に Active Directory にあるセルフマネージドディレクトリを接続します。
-
-
委任された管理者アカウントにある Active Directory を使用してください。
IAM Identity Center の委任管理者を有効にし、IAM ID ソースとして Active Directory を使用する場合は、委任管理者アカウントにある AWS Managed Microsoft AD ディレクトリに設定された既存の AD Connector または AWS ディレクトリを使用できます。
IAM Identity Center ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に配置する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。
AWS Organizations
は によって管理 AWS アカウント される必要があります AWS Organizations。組織をまだ設定していない場合は、設定する必要はありません。IAM Identity Center を有効にすると、 で組織 AWS を作成するかどうかを選択できます。
すでに を設定している場合は AWS Organizations、すべての機能が有効になっていることを確認してください。詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。
IAM Identity Center を有効にするには、 AWS Organizations 管理アカウントの認証情報 AWS Management Console を使用して にサインインする必要があります。 AWS Organizations メンバーアカウントの認証情報を使用してサインインしている間は、IAM Identity Center を有効にすることはできません。詳細については、「 AWS Organizations ユーザーガイド」の AWS 「組織の作成と管理」を参照してください。
IAM ロール
で IAM ロールを既に設定している場合は AWS アカウント、アカウントが IAM ロールのクォータに近づいているかどうかを確認することをお勧めします。詳細については、「IAM オブジェクトクォータ」を参照してください。
クォータに近づいている場合は、クォータの増額をリクエストすることを検討してください。そうしないと、IAM ロールクォータを超えたアカウントにアクセス権限セットをプロビジョニングする際に、IAM Identity Center の問題が発生する可能性があります。クォータ引き上げのリクエストの詳細情報については、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。
次世代ファイアウォールと安全なウェブゲートウェイ
NGFW や SWGs などのウェブコンテンツフィルタリングソリューションを使用して特定の AWS ドメインまたは URL エンドポイントへのアクセスをフィルタリングする場合は、ウェブコンテンツフィルタリングソリューションの許可リストに次のドメインまたは URL エンドポイントを追加する必要があります。 NGFWs
特定の DNS ドメイン
*.awsapps.com (http://awsapps.com/)
*.signin.aws
特定の URL エンドポイント
https://
[yourdirectory].awsapps.com/starthttps://
[yourdirectory].awsapps.com/loginhttps://
[yourregion].signin.aws/platform/login
