AWS IAM Identity Center (successor to AWS Single Sign-On) および AWS Organizations - AWS Organizations

AWS IAM Identity Center (successor to AWS Single Sign-On) および AWS Organizations

AWS IAM Identity Center (successor to AWS Single Sign-On) は、すべての AWS アカウント とクラウドアプリケーションのためのシングルサインオンサービスを提供します。AWS Directory Service を通じて Microsoft Active Directory に接続され、そのディレクトリのユーザーは、既存の Active Directory のユーザー名とパスワードを使用して、パーソナライズされた AWS ポータルにサインインできるようになります。AWS アクセスポータルから、ユーザーは、権限を持つすべての AWS アカウント およびクラウド アプリケーションにアクセスできます。

IAM Identity Center の詳細については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドを参照してください。

AWS IAM Identity Center (successor to AWS Single Sign-On) と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、IAM Identity Center はサポートされているオペレーションを組織内の組織アカウントで実行できます。

このロールを削除または変更できるのは、IAM Identity Center と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForSSO

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。IAM Identity Center によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • sso.amazonaws.com

IAM Identity Center との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS IAM Identity Center (successor to AWS Single Sign-On) コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS IAM Identity Center (successor to AWS Single Sign-On) コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS IAM Identity Center (successor to AWS Single Sign-On) で実行可能になります。ここに示す手順は、統合の有効化に AWS IAM Identity Center (successor to AWS Single Sign-On) が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS IAM Identity Center (successor to AWS Single Sign-On) コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

IAM Identity Center には、処理を行うにあたって AWS Organizations との信頼されたアクセスが必要です。IAM Identity Center をセットアップすると、信頼されたアクセスが有効になります。詳細については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドGetting Started - Step 1: Enable AWS IAM Identity Center (successor to AWS Single Sign-On) を参照してください。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサイン・インするか、IAM ロールを引き受けるか、ルートユーザーとしてサイン・インする (推奨されません) 必要があります。

  2. サービスページで、AWS IAM Identity Center (successor to AWS Single Sign-On) の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、AWS IAM Identity Center (successor to AWS Single Sign-On) の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、AWS IAM Identity Center (successor to AWS Single Sign-On) を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal sso.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

IAM Identity Center との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

IAM Identity Center には、オペレーションを行うにあたって AWS Organizations との信頼されたアクセスが必要です。IAM Identity Center の使用中に、AWS Organizations を使用して信頼されたアクセスを無効にすると、組織にアクセスできず、動作は停止します。ユーザーは IAM Identity Center を使用してアカウントにアクセスできません。IAM Identity Center によって作成されるロールは残りますが、 サービスからアクセスすることはできません。IAM Identity Center のサービスにリンクされたロールは残ります。その後、信頼されたアクセスを再度有効にすると、IAM Identity Center は以前のように動作し続けます。サービスを再設定する必要はありません。

組織からアカウントを削除すると、サービスにリンクされたロールなど、すべてのメタデータとリソースが IAM Identity Center によって自動的にクリーンアップされます。スタンドアロンアカウントを組織から削除した場合は、IAM Identity Center で機能しなくなります。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで AWS IAM Identity Center (successor to AWS Single Sign-On) の行を探し、サービスの名前を選択します。

  3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  5. AWS Organizations だけの管理者である場合は、AWS IAM Identity Center (successor to AWS Single Sign-On) の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS IAM Identity Center (successor to AWS Single Sign-On) を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal sso.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

IAM Identity Center 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、IAM Identity Center の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、IAM Identity Center の管理から組織の管理を分離するのに有効です。

最小アクセス許可

組織内で IAM Identity Center の委任管理者としてメンバーアカウントを設定できるのは、Organizations 管理アカウントの IAM ユーザーまたはロールだけです。

IAM Identity Center の委任管理者アカウントを有効にする方法については、AWS IAM Identity Center (successor to AWS Single Sign-On)ユーザーガイドの委任された管理を参照してください。