IAM Identity Center のアカウントインスタンス - AWS IAM Identity Center
メンバーアカウントの可用性制約アカウントインスタンスを使用するタイミングアカウントインスタンスに関する考慮事項サポート AWS マネージドアプリケーション

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center のアカウントインスタンス

IAM Identity Center のアカウントインスタンスを使用すると、サポートされている をデプロイできます。 AWS マネージドアプリケーションと OIDCベースのカスタマーマネージドアプリケーション。アカウントインスタンスは、1 つの でアプリケーションの独立したデプロイをサポートします。 AWS アカウント、IAMIdentity Center のワークフォースアイデンティティとアクセスポータル機能を活用します。

アカウントインスタンスは 1 つの にバインドされます AWS アカウント と は、同じアカウントと でサポートされているアプリケーションのユーザーとグループのアクセスを管理するためにのみ使用されます。 AWS リージョン。 ごとに 1 つのアカウントインスタンスに制限されています AWS アカウント。 アカウントインスタンスは、次のいずれかから作成できます。

  • のメンバーアカウント AWS Organizations.

  • スタンドアロン AWS アカウント によって管理されていない AWS Organizations.

メンバーアカウントの可用性制約

Identity Center のアカウントインスタンスを IAM にデプロイできます。 AWS Organizations IAM Identity Center の組織インスタンスが に既に存在するかどうかにかかわらず、メンバーアカウント AWS 組織。

次のいずれかの条件が満たされている必要があります。

  • に IAM Identity Center の組織インスタンスがありません AWS 組織。

  • に IAM Identity Center の組織インスタンスがある AWS 組織とインスタンス管理者は、メンバーアカウントが IAM Identity Center のアカウントインスタンスを作成できるようにしました (2023 年 11 月 15 日以降に作成された組織インスタンスの場合)。

  • に IAM Identity Center の組織インスタンスがある AWS 組織とインスタンス管理者は、組織内のメンバーアカウント (2023 年 11 月 15 日より前に作成された組織インスタンスの場合) によるアカウントインスタンスの作成を手動で有効にしました。手順については、IAM Identity Center コンソールでアカウントインスタンスの作成を有効にする を参照してください。

上記の条件のいずれかが満たされたら、次の条件がすべて満たされている必要があります。

  • 管理者は、メンバーアカウントがアカウントインスタンスを作成できないようにするサービスコントロールポリシーを作成していません。

  • に関係なく、この同じアカウントに IAM Identity Center のインスタンスがまだありません AWS リージョン.

  • で作業している AWS リージョン IAM Identity Center が利用可能な 。リージョンの詳細については、「AWS IAM Identity Center リージョンの可用性」を参照してください。

アカウントインスタンスを使用するタイミング

ほとんどの場合には、組織インスタンスをお勧めします。アカウントインスタンスは、以下のシナリオのいずれかに当てはまる場合にのみ使用してください。

  • サポートされている の一時トライアルを実行する場合 AWS アプリケーションがビジネスニーズに適しているかどうかを判断するための マネージドアプリケーション。

  • 組織全体に IAM Identity Center を導入する予定はないが、1 つ以上の をサポートしたい AWS マネージドアプリケーション。

  • IAM Identity Center の組織インスタンスがあるが、サポートされている をデプロイしたい AWS マネージドアプリケーションから、組織インスタンス内のユーザーとは異なる分離されたユーザーのセット。

重要

IAM Identity Center を使用して複数のアカウントのアプリケーションをサポートする場合は、組織インスタンスを作成し、アカウントインスタンスを使用しないでください。

アカウントインスタンスに関する考慮事項

アカウントインスタンスは特殊なユースケース向けに設計されており、組織インスタンスで使用できる機能のサブセットを提供します。アカウントインスタンスを作成する前に、以下を考慮してください。

  • アカウントインスタンスはアクセス許可セットをサポートしていないため、 へのアクセスをサポートしていません AWS アカウント.

  • アカウントインスタンスを組織インスタンスに変換することはできません。

  • アカウントインスタンスを組織インスタンスにマージすることはできません。

  • AWS マネージドアプリケーション サポートアカウントインスタンスのみを選択します。

  • アカウントインスタンスは、1 つのアカウントでのみアプリケーションを使用する孤立したユーザーで、使用するアプリケーションの存続期間中だけ使用してください。

  • アカウントインスタンスにアタッチされたアプリケーションは、アプリケーションとそのリソースを削除するまでアカウントインスタンスにアタッチされたままにしておく必要があります。

  • アカウントインスタンスは に残っている必要があります AWS アカウント 作成場所。

AWS アカウントインスタンスをサポートする マネージドアプリケーション

詳細についてはAWS マネージドアプリケーション、「」を参照してください。 AWS マネージドアプリケーションは IAM Identity Center のアカウントインスタンスをサポートします。でアカウントインスタンス作成の可用性を確認する AWS マネージドアプリケーション。