ワークフォース ID 管理 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークフォース ID 管理

次の図に示すワークフォース ID 管理とは、クラウドインフラストラクチャとアプリケーション内でのビジネスの構築と管理に役立つ リソースへの人間によるアクセスを管理することです。従業員が組織に加わり、ロール間を移動し、組織を離れる際に、安全なプロビジョニング、管理、およびアクセスの削除をサポートします。ID 管理者は、AWS で ID を直接作成することも、外部 ID プロバイダー (IdP) に接続して、従業員が会社の認証情報を使用して AWS アカウントとビジネスアプリケーションに 1 か所から安全にアクセスできるようにすることもできます。

AWS でのワークフォース ID 管理

AWS IAM Identity Center を使用して AWS マネージドアプリケーションへのアクセスを管理することで、クエリアプリケーションから AWS データサービスへの信頼できる ID の伝播などの新機能や、ユーザーが Amazon Q 対応サービスから別のサービスに移行するたびに継続的なユーザーエクスペリエンスを提供する Amazon Q などの新しいサービスを利用できます。IAM Identity Center for AWS アカウントアクセスを使用すると、リソースへの長期的なアクセス権を持つ IAM ユーザーの作成と使用が防止されます。代わりに、セキュリティのベストプラクティスである IAM アイデンティティセンターの一時的な認証情報を使用して、ワークフォース ID が AWS アカウントのリソースにアクセスできるようにします。ワークフォース ID 管理サービスを使用すると、特定の職務機能またはユーザー属性に基づいて、マルチアカウント AWS 環境内の AWS リソースまたはアプリケーションのきめ細かなアクセス制御を定義できます。これらのサービスは、AWS 環境内のユーザーアクティビティの監査とレビューにも役立ちます。

AWS には、ワークフォースのアイデンティティとアクセス管理のためのオプションとして、AWS IAM Identity Center、IAM SAML フェデレーション、AWS Managed Microsoft AD などがあります。 

  • AWS IAM Identity Center は、AWS アプリケーションと複数の AWS アカウントへのワークフォースアクセスを管理するために推奨されるサービスです。このサービスは、Okta、Microsoft Entra ID、オンプレミス Active Directory などの既存の ID ソースで、またはそのディレクトリにユーザーを作成することで使用できます。IAM Identity Center は、すべての AWS サービスにワークフォースのユーザーとグループに関する共通の理解を提供します。AWS マネージドアプリケーションは と統合されるため、ID ソースを各サービスに個別に接続する必要はなく、ワークフォースアクセスを一元的に管理および表示できます。IAM Identity Center を使用して AWS アプリケーションへのアクセスを管理しながら、確立された設定を引き続き使用して AWS アカウントにアクセスできます。新しいマルチアカウント環境では、IAM Identity Center が環境へのワークフォースアクセスを管理するための推奨サービスです。AWS アカウント間で一貫してアクセス許可を割り当てることができ、ユーザーは AWS 全体でシングルサインオンアクセスを受け取ります。

  • ワークフォースに AWS アカウントへのアクセスを許可するもう 1 つの方法は、IAM SAML 2.0 フェデレーションを使用することです。これには、組織の IdP と各 AWS アカウントの間に one-to-one の信頼関係を作成することが含まれます。マルチアカウント環境にはお勧めしません。組織内では、Microsoft Entra ID、Okta、または互換性のある別の SAML 2.0 プロバイダーなどの SAML 2.0 をサポートする IdP が必要です。

  • もう 1 つのオプションは、Microsoft Active Directory (AD) をマネージドサービスとして使用して、AWS でディレクトリ対応ワークロードを実行することです。AWS クラウドの AWS Managed Microsoft AD と既存のオンプレミス Microsoft Active Directory との信頼関係を設定して、AWS IAM Identity Center を使用して、ユーザーとグループにいずれかのドメインのリソースへのアクセスを許可することもできます。

設計上の考慮事項

  • このセクションでは、いくつかのサービスとオプションについて説明しますが、他の 2 つのアプローチよりも利点があるため、IAM Identity Center を使用してワークフォースアクセスを管理することをお勧めします。後のセクションでは、個々のアプローチの利点とユースケースについて説明します。ますます多くの AWS マネージドアプリケーションでは、IAM Identity Center を使用する必要があります。現在 IAM フェデレーションを使用している場合は、既存の設定を変更することなく、AWS アプリケーションで IAM Identity Center を有効にして使用できます。

  • フェデレーションの回復性を向上させるには、複数の SAML サインインエンドポイントをサポートするように IdP および AWS フェデレーションを設定することをお勧めします。詳細については、AWS ブログ記事「フェイルオーバーにリージョン SAML エンドポイントを使用する方法」を参照してください。