AWS IAM Identity Center の概念 - AWS Command Line Interface

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IAM Identity Center の概念

このトピックでは、 AWS IAM Identity Center (IAM Identity Center) の主要な概念について説明します。IAM Identity Center は、既存の ID プロバイダー (IdP) と統合することで AWS アカウント、複数の 、アプリケーションSDKs、、およびツールにわたるユーザーアクセス管理を簡素化するクラウドベースのIAMサービスです。これにより、一元化されたユーザーポータルを通じて安全なシングルサインオン、アクセス許可管理、監査が可能になり、組織のアイデンティティとアクセスガバナンスが合理化されます。

IAM Identity Center とは

IAM Identity Center は、複数の およびビジネスアプリケーションへのアクセスを一元管理できるクラウドベースのアイデンティティ AWS アカウント およびアクセス管理 (IAM) サービスです。

権限のあるユーザーが、既存の企業認証情報を使用して、アクセス許可が付与されている AWS アカウント およびアプリケーションにアクセスできるユーザーポータルを提供します。これにより、組織は一貫したセキュリティポリシーを適用し、ユーザーアクセス管理を合理化できます。

使用する IdP に関係なく、IAMIdentity Center はそれらの区別を抽象化します。例えば、ブログ記事IAM「アイデンティティセンターの次の進化」で説明されているように、Microsoft Azure AD を接続できます。

注記

アカウント ID とロールを使用しないベアラー認証の使用については、「Amazon ユーザーガイド」のAWS CLI 「 で を使用するためのセットアップ CodeCatalyst」を参照してください。 CodeCatalyst

用語

IAM Identity Center を使用する際の一般的な用語は次のとおりです。

ID プロバイダー (IdP)

Identity Center、Microsoft Azure AD、Okta、または独自の社内ディレクトリサービスなどの IAM ID 管理システム。

AWS IAM Identity Center

IAM Identity Center は、 AWS 所有の IdP サービスです。以前は AWS Single Sign-On SDKsと呼ばれていましたが、 ツールは下位互換性のためにssoAPI名前空間を保持します。詳細については、「 ユーザーガイド」のIAM「 Identity Center の名前変更AWS IAM Identity Center 」を参照してください。

AWS アクセスポータル

承認された 、サービス AWS アカウント、リソースにアクセスURLするための一意の IAM Identity Center。

フェデレーション

Identity Center と IAM ID プロバイダー間の信頼を確立してシングルサインオンを有効にするプロセス (SSO)。

AWS アカウント

を通じてユーザーにアクセス権を付与 AWS アカウント する AWS IAM Identity Center。

アクセス許可セット、 AWS 認証情報、認証情報、sigv4 認証情報

へのアクセスを許可するためにユーザーまたはグループに割り当てることができるアクセス許可の事前定義されたコレクション AWS のサービス。

登録スコープ、アクセススコープ、スコープ

スコープは、アプリケーションのユーザーアカウントへのアクセスを制限するための OAuth 2.0 のメカニズムです。アプリケーションは 1 つ以上のスコープをリクエストでき、アプリケーションに発行されたアクセストークンは付与されたスコープに限定されます。スコープの詳細については、IAM「 Identity Center OAuth ユーザーガイド」の「2.0 アクセススコープ」を参照してください。

トークン、更新トークン、アクセストークン

トークンは、認証時に発行される一時的なセキュリティ認証情報です。これらのトークンには、ID と付与されたアクセス許可に関する情報が含まれています。

IAM Identity Center ポータルから AWS リソースまたはアプリケーションにアクセスすると、認証と承認 AWS のためにトークンが に表示されます。これにより、 AWS はアイデンティティを検証し、リクエストされたアクションを実行するために必要なアクセス許可があることを確認します。

認証トークンは、セッション名に基づくJSONファイル名で ~/.aws/sso/cache ディレクトリの下のディスクにキャッシュされます。

セッション

IAM Identity Center セッションとは、ユーザーが認証され、 AWS リソースまたはアプリケーションへのアクセスが許可されている期間を指します。ユーザーが IAM Identity Center ポータルにサインインすると、セッションが確立され、ユーザーのトークンは指定された期間有効です。セッション期間の設定の詳細については、「 AWS IAM Identity Center ユーザーガイド」の「セッション期間の設定」を参照してください。

セッション中、セッションがアクティブである限り、再認証しなくても異なる AWS アカウントやアプリケーション間を移動できます。セッションの有効期限が切れたら、再度サインインしてアクセスを更新します。

IAM Identity Center セッションは、ユーザーアクセス認証情報の有効性を制限することで、シームレスなユーザーエクスペリエンスを提供すると同時に、セキュリティのベストプラクティスを適用するのに役立ちます。

IAM Identity Center の仕組み

IAM Identity Center は、Identity Center、Microsoft Azure AD、Okta などの組織の IAM ID プロバイダーと統合されます。ユーザーはこの ID プロバイダーに対して認証され、IAMIdentity Center はそれらの ID を環境内の適切なアクセス許可とアクセスにマッピングします AWS 。

次の IAM Identity Center ワークフローは、IAMIdentity Center を使用する AWS CLI ように を既に設定していることを前提としています。

  1. 任意のターミナルで、 aws sso login コマンドを実行します。

  2. にサインイン AWS アクセスポータル して新しいセッションを開始します。

    • 新しいセッションを開始すると、キャッシュされた更新トークンとアクセストークンを受け取ります。

    • 既にアクティブなセッションがある場合、既存のセッションは再利用され、既存のセッションの有効期限が切れると期限切れになります。

  3. config ファイルで設定したプロファイルに基づいて、IAMIdentity Center は適切なアクセス許可セットを引き受け、関連する AWS アカウント およびアプリケーションへのアクセスを許可します。

  4. AWS CLI、、および ツールはSDKs、引き受けたIAMロールを使用して、セッションの有効期限が切れるまで Amazon S3 バケットを作成する AWS のサービス など、 を呼び出します。

  5. IAM Identity Center からのアクセストークンは 1 時間ごとにチェックされ、更新トークンを使用して自動的に更新されます。

    • アクセストークンの有効期限が切れている場合、 SDKまたは ツールは更新トークンを使用して新しいアクセストークンを取得します。その後、これらのトークンのセッション期間を比較し、更新トークンの有効期限が切れていない場合は IAM Identity Center が新しいアクセストークンを提供します。

    • 更新トークンの有効期限が切れている場合、新しいアクセストークンは提供されず、セッションは終了しています。

  6. セッションは、更新トークンの有効期限が切れた後、または aws sso logout コマンドを使用して手動でログアウトしたときに終了します。キャッシュされた認証情報は削除されます。IAM Identity Center を使用して のサービスに引き続きアクセスするには、 aws sso login コマンドを使用して新しいセッションを開始する必要があります。

追加リソース

その他のリソースは次のとおりです。