IAM アイデンティティセンターのアカウントインスタンス - AWS IAM Identity Center
メンバーアカウントの可用性制約アカウントインスタンスを使用するタイミングアカウントインスタンスに関する考慮事項サポートされる AWS マネージドアプリケーション

IAM アイデンティティセンターのアカウントインスタンス

IAM Identity Center のアカウントインスタンスでは、サポートされている AWS マネージドアプリケーションと OIDC ベースのカスタマーマネージドアプリケーションをデプロイできます。アカウントインスタンスは、IAM アイデンティティセンターのワークフォース ID 機能とアクセスポータル機能を活用して、アプリケーションを個別に単一の AWS アカウント にデプロイすることをサポートします。

アカウントインスタンスは単一の AWS アカウント にバインドされ、同じアカウントと AWS リージョン 内のサポート対象アプリケーションへのユーザーとグループのアクセスを管理するためにのみ使用されます。AWS アカウント ごとに、アカウントインスタンスは 1 つに制限されています。以下のいずれかからアカウントインスタンスを作成できます。

  • AWS Organizations のメンバーアカウント

  • AWS Organizations によって管理されていないスタンドアロン AWS アカウント。

メンバーアカウントの可用性制約

IAM Identity Center の組織インスタンスが AWS 組織内に既に存在するかどうかにかかわらず、AWS Organizations メンバーアカウントに IAM Identity Center のアカウントインスタンスをデプロイできます。

これには、以下の条件のいずれかが満たされている必要があります。

  • AWS 組織内に IAM Identity Center の組織インスタンスがないこと。

  • AWS 組織内に IAM Identity Center の組織インスタンスがあるが、インスタンス管理者がメンバーアカウントによる IAM Identity Center のアカウントインスタンス作成を有効化している (2023 年 11 月 15 日以降に作成された組織インスタンスの場合)。

  • AWS 組織内に IAM Identity Center の組織インスタンスがあるが、インスタンス管理者が組織内のメンバーアカウント によるアカウントインスタンス作成を手動で有効化している (2023 年 11 月 15 日以前に作成された組織インスタンスの場合)。手順については、「IAM Identity Center コンソールでアカウントインスタンスの作成を有効にする」を参照してください。

上記の条件のいずれかを満たしていることを前提として、さらに以下の条件がすべて満たされている必要があります。

  • 管理者が、メンバーアカウントによるアカウントインスタンスの作成を禁止するサービスコントロールポリシーを作成していないこと。

  • AWS リージョンに関係なく、同じアカウント内に IAM Identity Center のインスタンスが現時点で存在していないこと。

  • その AWS リージョンで IAM Identity Center が利用可能であること。リージョンの詳細については、「AWS IAM Identity Center が利用可能なリージョン」を参照してください。

アカウントインスタンスを使用するタイミング

ほとんどの場合には、組織インスタンスをお勧めします。アカウントインスタンスは、以下のシナリオのいずれかに当てはまる場合にのみ使用してください。

  • サポート対象の AWS マネージドアプリケーションを一時的に試用して、そのアプリケーションがビジネスニーズに合っているかどうかを判断したい。

  • 組織全体に IAM アイデンティティセンターを導入する予定はないが、1 つ以上の AWS マネージドアプリケーションをサポートしたいと考えている。

  • IAM アイデンティティセンターの組織インスタンスはあるが、サポートされている AWS マネージドアプリケーションを、組織インスタンス内のユーザーとは異なる、分離されたユーザーグループにデプロイしたいと考えている。

重要

IAM アイデンティティセンターを使用して複数のアカウントのアプリケーションをサポートする予定がある場合は、組織インスタンスを作成し、アカウントインスタンスは使用しないでください。

アカウントインスタンスに関する考慮事項

アカウントインスタンスは特殊なユースケース向けに設計されており、組織インスタンスで使用できる機能のサブセットを提供します。アカウントインスタンスを作成する前に、以下を考慮してください。

  • アカウントインスタンスはアクセス許可セットをサポートしていないため、AWS アカウント へのアクセスはサポートしていません。

  • アカウントインスタンスを組織インスタンスに変換することはできません。

  • アカウントインスタンスを組織インスタンスにマージすることはできません。

  • AWS マネージドアプリケーション サポートアカウントインスタンスのみを選択します。

  • アカウントインスタンスは、1 つのアカウントでのみアプリケーションを使用する孤立したユーザーで、使用するアプリケーションの存続期間中だけ使用してください。

  • アカウントインスタンスにアタッチされたアプリケーションは、アプリケーションとそのリソースを削除するまでアカウントインスタンスにアタッチされたままにしておく必要があります。

  • アカウントインスタンスは、作成された AWS アカウント内に残しておく必要があります。

アカウントインスタンスをサポートする AWS マネージドアプリケーション

どの AWS マネージドアプリケーションが IAM Identity Center のアカウントインスタンスをサポートしているかについては、「AWS マネージドアプリケーション」を参照してください。AWS マネージドアプリケーションでアカウントインスタンスを作成できるかどうかを確認してください。