IAM アイデンティティセンターのアカウントインスタンス - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM アイデンティティセンターのアカウントインスタンス

IAM Identity Center のアカウントインスタンスを使用すると、サポートされている AWS マネージドアプリケーションと OIDC ベースのカスタマーマネージドアプリケーションをデプロイできます。アカウントインスタンスは、IAM Identity Center ワークフォースアイデンティティとアクセスポータル機能を活用して AWS アカウント、単一の でアプリケーションの分離されたデプロイをサポートします。

アカウントインスタンスは 1 つの にバインド AWS アカウント され、同じアカウントおよび でサポートされているアプリケーションのユーザーおよびグループのアクセスを管理するためにのみ使用されます AWS リージョン。ごとに 1 つのアカウントインスタンスに制限されています AWS アカウント。以下のいずれかからアカウントインスタンスを作成できます。

  • のメンバーアカウント AWS Organizations。

  • によって管理 AWS アカウント されていないスタンドアロン AWS Organizations。

メンバーアカウントの可用性制約

IAM Identity Center の組織インスタンスが AWS 組織内に既に存在するかどうかにかかわらず、メンバー AWS Organizations アカウントに IAM Identity Center のアカウントインスタンスをデプロイできます。

これには、以下の条件のいずれかが満たされている必要があります。

  • 組織内に IAM Identity Center の AWS 組織インスタンスがありません。

  • AWS 組織内に IAM アイデンティティセンターの組織インスタンスがあり、インスタンス管理者が IAM アイデンティティセンターのアカウントインスタンス (2023 年 11 月 15 日以降に作成された組織インスタンスの場合) を作成するためにメンバーアカウントを有効にしています。

  • 組織内に IAM Identity Center の AWS 組織インスタンスがあり、インスタンス管理者が組織内のメンバーアカウントによるアカウントインスタンスの作成を手動で有効にしました (2023 年 11 月 15 日より前に作成された組織インスタンスの場合)。手順については、IAM アイデンティティセンターコンソールでアカウントインスタンスの作成を有効にする を参照してください。

上記の条件のいずれかを満たしていることを前提として、さらに以下の条件がすべて満たされている必要があります。

  • 管理者が、メンバーアカウントによるアカウントインスタンスの作成を禁止するサービスコントロールポリシーを作成していないこと。

  • AWS リージョンに関係なく、同じアカウント内に IAM アイデンティティセンターのインスタンスが現時点で存在していないこと。

  • IAM Identity Center AWS リージョン が利用可能な で作業している。リージョンの詳細については、「AWS IAM Identity Center が利用可能なリージョン」を参照してください。

アカウントインスタンスを使用するタイミング

ほとんどの場合には、組織インスタンスをお勧めします。アカウントインスタンスは、以下のシナリオのいずれかに当てはまる場合にのみ使用してください。

  • サポートされている AWS マネージドアプリケーションの一時的なトライアルを実行して、アプリケーションがビジネスニーズに適しているかどうかを判断します。

  • 組織全体で IAM アイデンティティセンターを導入する予定はありませんが、1 つ以上の AWS マネージドアプリケーションをサポートしたいと考えています。

  • IAM アイデンティティセンターの組織インスタンスはあるが、サポートされている AWS マネージドアプリケーションを、組織インスタンス内のユーザーとは異なる、分離されたユーザーグループにデプロイしたいと考えている。

  • 自分が運営している AWS 組織を管理していない。例えば、サードパーティーが を管理する AWS 組織を制御します AWS アカウント。

重要

IAM アイデンティティセンターを使用して複数のアカウントのアプリケーションをサポートする予定がある場合は、組織インスタンスを作成し、アカウントインスタンスは使用しないでください。

アカウントインスタンスに関する考慮事項

アカウントインスタンスは特殊なユースケース向けに設計されており、組織インスタンスで使用できる機能のサブセットを提供します。アカウントインスタンスを作成する前に、以下を考慮してください。

  • アカウントインスタンスはアクセス許可セットをサポートしていないため、 へのアクセスをサポートしていません AWS アカウント。

  • アカウントインスタンスを組織インスタンスに変換することはできません。

  • アカウントインスタンスを組織インスタンスにマージすることはできません。

  • アカウントインスタンスは、一部の AWS マネージドアプリケーションのみでサポートされています。

  • アカウントインスタンスは、1 つのアカウントでのみアプリケーションを使用する孤立したユーザーで、使用するアプリケーションの存続期間中だけ使用してください。

  • アカウントインスタンスにアタッチされたアプリケーションは、アプリケーションとそのリソースを削除するまでアカウントインスタンスにアタッチされたままにしておく必要があります。

  • アカウントインスタンスは、作成された AWS アカウント に残っている必要があります。

AWS アカウントインスタンスをサポートする マネージドアプリケーション

IAM Identity Center のアカウントインスタンスをサポートする AWS マネージドアプリケーションAWS マネージドアプリケーションについては、「」を参照してください。 AWS マネージドアプリケーションでアカウントインスタンス作成の可用性を確認します。