AWS IAM Identity Center (successor to AWS Single Sign-On) によるユーザーとアカウントの管理 - AWS Control Tower

AWS IAM Identity Center (successor to AWS Single Sign-On) によるユーザーとアカウントの管理

AWS IAM Identity Center (successor to AWS Single Sign-On) は、AWS アカウントやビジネスアプリケーションに対する IAM Identity Center アクセスの管理方法を簡素化するクラウドベースのサービスです。AWS Organizations では、すべての AWS アカウントの IAM Identity Center アクセスとユーザーアクセス許可を管理できます。一般的なビジネスアプリケーションや、Security Assertion Markup Language (SAML) 2.0 をサポートするカスタムアプリケーションに対するアクセスを管理することもできます。また、IAM Identity Center には、ユーザーが自分に割り当てられている AWS アカウントやビジネスアプリケーション、カスタムアプリケーションを一元的に検索できるユーザーポータルが含まれます。詳細については、「AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイド」を参照してください。

AWS IAM Identity Center と AWS Control Tower の使用

AWS Control Tower で AWS IAM Identity Center (successor to AWS Single Sign-On) を使用すると、中央のクラウド管理者とエンドユーザーが複数の AWS アカウントとビジネスアプリケーションへのアクセスを管理できます。AWS Control Tower は、このサービスを使用して、AWS Service Catalog で作成されたアカウントへのアクセスをセットアップおよび管理します。

AWS Control Tower での IAM Identity Center ユーザーおよび許可のセットアップ方法に関する簡単なチュートリアルについては、こちらの動画 (所要時間: 6 分 23 秒) をご覧ください。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

IAM Identity Center での AWS Control Tower のセットアップについて

AWS Control Tower の初期セットアップの時点では、ルートユーザーと適切な許可を持つ IAM Identity Center ユーザーのみ、IAM ユーザーを追加できます。ただし、エンドユーザーが [AWSAccountFactory] グループに追加されると、Account Factory ウィザードから新しい IAM Identity Center ユーザーを作成できるようになります。詳細については、「Account Factory でのアカウントのプロビジョニングと管理」を参照してください。

ランディングゾーンには事前設定済みディレクトリがセットアップされており、ユーザーがアカウント間でフェデレーティッドアクセスを持つように、ユーザーアイデンティティとシングルサインオンを管理できるようになっています。ランディングゾーンのセットアップ時に、このデフォルトディレクトリはユーザーグループと許可セットを含むように作成されます。

注記

組織の AWS IAM Identity Center (successor to AWS Single Sign-On) の管理を、管理アカウント以外のアカウントに委任できます。詳細については、ブログ記事「Getting started with AWS SSO delegated administration」 (AWS SSO 委任管理の開始方法) を参照してください。

ユーザーグループ、ロール、許可セット

ユーザーグループは、共有アカウント内で定義された特殊なロールを管理します。ロールは、一緒に属する許可のセットを確立します。グループのすべてのメンバーは、グループに関連付けられた許可セットやロールを継承します。メンバーアカウントのエンドユーザー用に新しいグループを作成して、グループが実行する特定のタスクに必要なロールのみをカスタムに割り当てることができます。

使用できる許可セットは、読み取り専用アクセス、AWS Control Tower 管理アクセス、AWS Service Catalog アクセスなど、異なるユーザー許可の幅広い要件に対応しています。これらの許可セットを使用することで、エンドユーザーは、エンタープライズのガイドラインに従って、ランディングゾーン内の各自の AWS アカウントを迅速にプロビジョニングできます。

ユーザー、グループ、および許可の割り当てを計画するためのヒントについては、「グループ、ロール、ポリシーを設定する上での推奨事項」を参照してください。

AWS Control Tower のコンテキストでこのサービスを使用する方法の詳細については、「AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイド」で次のトピックを参照してください。

警告

AWS Control Tower は、ホームリージョンに IAM Identity Center ディレクトリをセットアップします。ランディングゾーンを別のリージョンにセットアップして IAM Identity Center コンソールに移動する場合は、そのリージョンをホームリージョンに変更する必要があります。ホームリージョンの IAM Identity Center 設定は削除しないでください。

IAM Identity Center アカウントと AWS Control Tower に関する注意事項

ここでは、AWS Control Tower で IAM Identity Center ユーザーアカウントを使用する際の注意事項をいくつか紹介します。

  • AWS IAM Identity Center ユーザーアカウントが無効になっている場合、Account Factory で新しいアカウントをプロビジョニングしようとすると、エラーメッセージが表示されます。IAM Identity Center コンソールで IAM Identity Center ユーザーを再度有効にすることができます。

  • Account Factory によって発行されたアカウントに関連付けられたプロビジョニング済み製品を更新するときに、新しい IAM Identity Center ユーザーの E メールアドレスを指定すると、AWS Control Tower によって新しい IAM Identity Center ユーザーアカウントが作成されます。以前に作成したユーザーアカウントは削除されません。AWS IAM Identity Center から以前の IAM Identity Center ユーザーの E メールアドレスを削除する場合は、Disabling a User (ユーザーを無効にする) を参照してください。

  • AWS IAM Identity Center は Azure Active Directory と統合されており、既存の Azure Active Directory を AWS Control Tower に接続できます。

  • AWS Control Tower が IAM Identity Center やさまざまなアイデンティティソースとやり取りする動作の詳細については、AWS IAM Identity Center ドキュメントのアイデンティティソースの変更に関する考慮事項を参照してください。

AWS Control Tower の IAM Identity Center グループ

AWS Control Tower では、アカウントで特定のタスクを実行するユーザーを編成するために事前設定されたグループを利用できます。ユーザーを追加して、IAM Identity Center で直接これらのグループに割り当てることができます。これにより、アカウント内では許可セットがグループのユーザーに一致します。ランディングゾーンのセットアップ時に作成されるグループは次のとおりです。

AWSAccountFactory
アカウント 許可セット 説明
管理アカウント AWSServiceCatalogEndUserAccess このグループは、Account Factory を使用して新しいアカウントをプロビジョニングするためにこのアカウントでのみ使用されます。
AWSServiceCatalogAdmins
アカウント 許可セット 説明
管理アカウント AWSServiceCatalogAdminFullAccess このグループは、Account Factory で管理者権限を変更するためにこのアカウントでのみ使用されます。このグループのユーザーは、AWSAccountFactory グループにも含まれていない限り新しいアカウントをプロビジョニングできません。
AWSControlTowerAdmins
アカウント 許可セット 説明
管理アカウント AWSAdministratorAccess AWS Control Tower コンソールにアクセスできるのは、このアカウントのこのグループのユーザーのみです。
ログアーカイブアカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
監査アカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
メンバーアカウント AWSOrganizationsFullAccess ユーザーは、このアカウントで Organizations へのフルアクセスが与えられます。
AWSSecurityAuditPowerUsers
アカウント 許可セット 説明
管理アカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。
ログアーカイブアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。
監査アカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。
メンバーアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。
AWSSecurityAuditors
アカウント 許可セット 説明
管理アカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
ログアーカイブアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
監査アカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
メンバーアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
AWSLogArchiveAdmins
アカウント 許可セット 説明
ログアーカイブアカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
AWSLogArchiveViewers
アカウント 許可セット 説明
ログアーカイブアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
AWSAuditAccountAdmins
アカウント 許可セット 説明
監査アカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。