IAM Identity Center のガイダンス - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center のガイダンス

注記

SSO は、テクノロジー業界でシングルサインオンを表すために使用される略語です。一般的に、SSO はセッションとユーザー認証のサービスです。これにより、ユーザーは 1 つのログイン認証情報を使用して多くのアプリケーションにアクセスできます。でシングルサインオン機能を参照する場合 AWS、 と呼ばれる AWS サービスを指しAWS Identity and Access ManagementIAM または IAM Identity Center と略されます。

AWS Control Tower では、 AWS Identity and Access Management (IAM) を使用して へのアクセスを規制することをお勧めします AWS アカウント。ただし、AWS Control Tower に IAM Identity Center をセットアップさせるか、ビジネス要件を最も効果的に満たす方法で IAM Identity Center を自分でセットアップするか、またはアカウントアクセスに別の方法を選択するかを選ぶことができます。

デフォルトでは、AWS Control Tower は、「複数のアカウント を使用して AWS 環境を整理する」で定義されているベストプラクティスのガイダンスに従って、ランディングゾーンに AWS IAM アイデンティティセンターを設定します。ほとんどのお客様はデフォルトを選択します。特定の業界や国、または AWS IAM Identity Center AWS リージョン が利用できない地域では、規制遵守のために代替のアクセス方法が必要になる場合があります。

オプションの選択

コンソールから、AWS Control Tower にセットアップさせるのではなく、ランディングゾーンのセットアッププロセス中に IAM Identity Center を自己管理することを選択できます。ランディングゾーンの設定を変更し、ランディングゾーンの [設定] ページでランディングゾーンを更新することで、後でいつでもこの選択を変更できます。

AWS Control Tower で AWS IAM Identity Center を中止する、または AWS IAM Identity Center の使用を開始するには

  1. ランディングゾーンの [設定] ページに移動する

  2. [設定] タブを選択します。

  3. 次に、適切なラジオボタンを選択して、 AWS IAM Identity Center の選択を変更します。

IdP として AWS IAM Identity Center を自己管理することを選択すると、AWS Control Tower は や など、AWS Control Tower の管理に必要なロールAWSControlTowerAdminとポリシーのみを作成しますAWSControlTowerAdminPolicy。 IdP 自己管理型のランディングゾーンの場合、AWS Control Tower は、ランディングゾーンのセットアッププロセス中や Account Factory でのアカウントプロビジョニング中に、お客様固有の用途の IAM ロールおよびグループを作成しなくなります。

注記

AWS Control Tower ランディングゾーンから AWS IAM Identity Center を削除しても、AWS Control Tower が作成したユーザー、グループ、およびアクセス許可セットは削除されません。これらのリソースを削除することをお勧めします。

Azure AD、Ping、Okta などの代替 ID プロバイダー (IdPs) を持つ Account Factory のお客様は、 AWS IAM Identity Center プロセスに従って外部 ID プロバイダーに接続し、IdP をオンボードできます。ランディングゾーンの設定を変更することで、いつでも AWS Control Tower がグループとロールを生成するように戻すことができます。

  • ID ソースに基づいて AWS Control Tower が IAM Identity Center と連携する方法の詳細については、このユーザーガイドの「開始方法」ページの「起動前チェック」セクションの AWS IAM Identity Center 「お客様向けの考慮事項」を参照してください。

  • AWS Control Tower が IAM Identity Center やさまざまなアイデンティティソースとやり取りする動作の詳細については、「IAM Identity Center ユーザーガイド」の「アイデンティティソースの変更に関する考慮事項」を参照してください。

  • AWS Control Tower および IAM Identity Center の使用に関する詳細については、「AWS IAM Identity Center と AWS Control Tower の使用」を参照してください。