AWS IAM Identity Center と AWS Control Tower の使用 - AWS Control Tower
IAM Identity Center アカウントと AWS Control Tower に関する注意事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IAM Identity Center と AWS Control Tower の使用

AWS Control Tower では、IAM Identity Center により、中央のクラウド管理者とエンドユーザーが複数の AWS アカウントとビジネスアプリケーションへのアクセスを管理できます。デフォルトでは、ID とアクセス制御を自己管理するオプションを選択していない限り、AWS Control Tower はこのサービスを使用して、Account Factory を通じて作成されたアカウントへのアクセスを設定および管理します。

ID プロバイダーの選択については、「IAM Identity Center のガイダンス」を参照してください。

AWS Control Tower での IAM Identity Center ユーザーおよび許可のセットアップ方法に関する簡単なチュートリアルについては、こちらの動画 (所要時間: 6 分 23 秒) をご覧ください。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

IAM Identity Center での AWS Control Tower のセットアップについて

AWS Control Tower の初期セットアップの時点では、ルートユーザーと適切な許可を持つ IAM ユーザーのみ、IAM Identity Center ユーザーを追加できます。ただし、エンドユーザーがAWSAccountFactoryグループに追加されると、Account Factory ウィザードから新しい IAM Identity Center ユーザーを作成できます。詳細については、「Account Factory でのアカウントのプロビジョニングと管理」を参照してください。

推奨されるデフォルトを選択した場合、AWS Control Tower は、ランディングゾーンを事前設定済みディレクトリでセットアップするため、ユーザーがアカウント間でフェデレーティッドアクセスを持つように、ユーザーアイデンティティとシングルサインオンを管理できます。ランディングゾーンのセットアップ時に、このデフォルトディレクトリはユーザーグループと許可セットを含むように作成されます。

注記

IAM Identity Center の委任管理者機能を使用して、組織 AWS IAM Identity Center 内の の管理を管理アカウント以外のアカウントに委任できます。この機能を使用する場合、メンバーシップを管理するアクセス権を持つ管理者は、管理アカウントに割り当てられたグループも管理できることに注意してください。詳細については、ブログ記事「エンタイトルメント付き」、「 AWS SSO 委任管理の開始方法」を参照してください。

IAM Identity Center アカウントと AWS Control Tower に関する注意事項

ここでは、AWS Control Tower で IAM Identity Center ユーザーアカウントを使用する際の注意事項をいくつか紹介します。

  • AWS IAM Identity Center ユーザーアカウントが無効になっている場合、Account Factory で新しいアカウントをプロビジョニングしようとすると、エラーメッセージが表示されます。IAM Identity Center コンソールで IAM Identity Center ユーザーを再度有効にすることができます。

  • Account Factory によって発行されたアカウントに関連付けられたプロビジョニング済み製品を更新するときに、新しい IAM Identity Center ユーザーの E メールアドレスを指定すると、AWS Control Tower によって新しい IAM Identity Center ユーザーアカウントが作成されます。以前に作成したユーザーアカウントは削除されません。IAM Identity Center から以前の IAM AWS Identity Center ユーザーの E メールアドレスを削除する場合は、「ユーザー の無効化」を参照してください。

  • AWS IAM Identity Center は Azure Active Directory と統合されており、既存の Azure Active Directory を AWS Control Tower に接続できます。

  • AWS Control Tower が IAM Identity Center やさまざまなアイデンティティソースとやり取りする動作の詳細については、 AWS IAM Identity Center ドキュメントのアイデンティティソースの変更に関する考慮事項を参照してください。