翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ワークフォース ID 管理
次の図に示すワークフォースアイデンティティ管理とは、クラウドインフラストラクチャとアプリケーション内でビジネスを構築および管理するための リソースへの人間によるアクセスを管理することです。従業員が組織に加わり、ロール間で移動し、組織を離れる際に、安全なプロビジョニング、管理、アクセスの削除をサポートします。ID 管理者は、AWS で ID を直接作成したり、外部 ID プロバイダー (IdP) に接続したりして、従業員が企業の認証情報を使用して AWS アカウントやビジネスアプリケーションに 1 か所から安全にアクセスできるようにします。
AWS IAM Identity Center を使用して AWS マネージドアプリケーションへのアクセスを管理することで、クエリアプリケーションから AWS データサービスへの信頼できる ID の伝播などの新機能や、ユーザーが Amazon Q 対応サービスから別のサービスに移行するたびに継続的なユーザーエクスペリエンスを提供する Amazon Q などの新しいサービスを利用できます。AWS アカウントアクセスに IAM Identity Center を使用すると、 リソースへの長期的なアクセス権を持つ IAM ユーザーの作成と使用を防ぐことができます。代わりに、セキュリティのベストプラクティスである IAM Identity Center の一時的な認証情報を使用して、ワークフォース ID が AWS アカウントのリソースにアクセスできるようにします。ワークフォース ID 管理サービスを使用すると、特定の職務機能またはユーザー属性に基づいて、マルチアカウント AWS 環境の AWS リソースまたはアプリケーションのきめ細かなアクセス制御を定義できます。これらのサービスは、AWS 環境内のユーザーアクティビティの監査とレビューにも役立ちます。
AWS では、従業員のアイデンティティとアクセス管理に、AWS IAM Identity Center、IAM SAML フェデレーション、AWS Managed Microsoft AD のいくつかのオプションが用意されています。
-
AWS IAM Identity Center は、AWS アプリケーションと複数の AWS アカウントへのワークフォースアクセスを管理するための推奨サービスです。このサービスは、Okta、Microsoft Entra ID、オンプレミス Active Directory などの既存の ID ソースで、またはそのディレクトリにユーザーを作成することで使用できます。IAM Identity Center は、すべての AWS サービスにワークフォースのユーザーとグループに関する共通の理解を提供します。AWS マネージドアプリケーションは統合されているため、ID ソースを各サービスに個別に接続する必要はなく、ワークフォースアクセスを一元的に管理および表示できます。IAM Identity Center を使用して AWS アプリケーションへのアクセスを管理できますが、確立された設定を引き続き使用して AWS アカウントにアクセスできます。新しいマルチアカウント環境では、IAM Identity Center が、環境へのワークフォースアクセスを管理するための推奨サービスです。AWS アカウント間で一貫してアクセス許可を割り当てることができ、ユーザーは AWS 全体でシングルサインオンアクセスを受け取ります。
-
AWS アカウントへのアクセス権をワークフォースに付与する別の方法は、IAM SAML 2.0 フェデレーション を使用することです。これには、組織の IdP と各 AWS アカウント間の one-to-one 信頼関係の作成が含まれます。マルチアカウント環境にはお勧めしません。組織内では、Microsoft Entra ID、Okta、または互換性のある別の SAML 2.0 プロバイダーなど、SAML 2.0 をサポートする anIdP が必要です。
-
もう 1 つのオプションは、Microsoft Active Directory (AD) をマネージドサービスとして使用して、AWS でディレクトリ対応のワークロードを実行することです。また、AWS クラウドの AWS Managed Microsoft AD と既存のオンプレミス Microsoft Active Directory との信頼関係を設定して、AWS IAM Identity Center を使用してユーザーとグループにいずれかのドメインのリソースへのアクセスを許可することもできます。
設計上の考慮事項
-
このセクションでは、いくつかのサービスとオプションについて説明しますが、IAM Identity Center を使用してワークフォースアクセスを管理することをお勧めします。これは、他の 2 つのアプローチよりも利点があるためです。後のセクションでは、個々のアプローチの利点とユースケースについて説明します。AWS マネージドアプリケーションの数が増えるにつれて、IAM Identity Center を使用する必要があります。現在 IAM フェデレーションを使用している場合は、既存の設定を変更することなく、AWS アプリケーションで IAM Identity Center を有効にして使用できます。
-
フェデレーションの耐障害性を向上させるには、複数の SAML サインインエンドポイントをサポートするように IdP および AWS フェデレーションを設定することをお勧めします。詳細については、AWS ブログ記事「フェイルオーバーにリージョン SAML エンドポイントを使用する方法
」を参照してください。