アクセスコントロールの属性 - AWS IAM Identity Center (successor to AWS Single Sign-On)
はじめに

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロールの属性

[Attributes for access control] (アクセスコントロールの属性) は、IAM Identity Center コンソールのページ名で、リソースへのアクセスコントロールをするためのポリシーで使用するユーザー属性を選択します。ユーザーの IDAWS ソースにある既存の属性に基づいて、のワークロードにユーザーを割り当てることができます。

例えば、部署名に基づいて S3 バケットへのアクセスを割り当てたいとします。[Attributes for access control] (アクセスコントロールの属性)では、属性ベースのアクセスコントロール (ABAC) で使用する Department (部署) ユーザー属性を選択します。IAM Identity Center アクセス権限セットでは、Department (部署) 属性が、S3 バケットに割り当てた部門タグと一致した場合にのみ、ユーザーにアクセスを許可するポリシーを書き込みます。IAM ID センターは、アクセスされるアカウントに、ユーザーの部門属性を渡します。そして、その属性は、ポリシーに基づいてアクセスを決定するために使用されます。ABAC の詳細については、「属性ベースのアクセスコントロール」を参照してください。

はじめに

アクセスコントロールの属性設定をどのように始めるかは、使用している ID ソースによって異なります。選択した ID ソースにかかわらず、属性を選択した後、アクセス権限セットのポリシーを作成または編集する必要があります。これらのポリシーは、ユーザーの ID に AWS リソースへのアクセスを許可する必要があります。

IAM Identity Center を ID ソースとして使用する際の属性を選択する

IAM Identity Center を ID ソースとして設定する場合、まずユーザーを追加し、その属性を設定します。次に、[Attributes for access control] (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。最後に、ABAC AWS アカウントの属性を使用するためのアクセス権限セットを作成または編集するためのページに移動します。

AWS Managed Microsoft AD を ID ソースとして使用する際の属性を選択する

を IDAWS Managed Microsoft AD ソースとして IAM Identity Center を構成する場合、まずアクティブディレクトリの属性セットを IAM Identity Center のユーザー属性にマッピングします。次に、[Attributes for access control] (アクセスコントロールの属性) のページに移動します。次に、アクティブディレクトリからマッピングされた既存の SSO 属性のセットに基づいて、ABAC 構成で使用する属性を選択します。最後に、アクセス権限セットに含まれるアクセスコントロール属性を用いて、AWS リソースへのアクセスをユーザー ID に許可する ABAC ルールを作成します。IAM Identity Center のユーザー属性とAWS Managed Microsoft ADディレクトリのユーザー属性とのデフォルトのマッピングの一覧は、「」を参照してくださいデフォルトのマッピング

外部 ID プロバイダーを ID ソースとして使用する際の属性を選択する

外部アイデンティティプロバイダー (IdP) を ID ソースとして IAM Identity Center を設定する場合、ABAC で属性を使用する方法は 2 つあります。

  • SAML アサーションを通じて属性を送信するように IdP を設定することができます。この場合、IAM Identity Center は、IdP からポリシー評価のために IdP から属性名と値を渡します。

    注記

    SAML アサーションの属性は、[Attributes for access control] (アクセスコントロールの属性) ページには表示されません。これらの属性を事前に把握しておき、ポリシー作成時にアクセスコントロールルールに追加する必要があります。属性の外部 IdPs (属性) を信頼する場合、ユーザーがへフェデレーションする際に、これらの属性が常に渡されますAWS アカウント。同じ属性が SAML および SCIM を通じて IAM Identity Center に来る場合は、SAML の属性値がアクセスコントロールの決定において優先されます。

  • どの属性を使用するかは、IAM Identity Center コンソールの [Attributes for access control] (アクセスコントロールの属性) ページから設定できます。ここで選択した属性値は、アサーションを介して IdP から取得された値と一致する属性値に置き換えます。SCIM の使用状況に応じて、次のことを考慮してください。

    • SCIM を使用している場合、IdP は属性値を自動的に IAM ID センターに同期させます。アクセスコントロールに必要な追加の属性は、SCIM 属性のリストに存在しない可能性があります。その場合、IdP の IT 管理者と協力して、https://aws.amazon.com/SAML/Attributes/AccessControl:必要なプレフィックスを使用した SAML アサーションを介して IAM Identity Center にそのような属性を送信することを検討してください。SAML アサーションで送信するために、IdP でアクセスコントロール用のユーザー属性を設定する方法については、「サポートされている ID プロバイダー」を参照してください。

    • SCIM を使用しない場合は、IAM Identity Center を ID ソースとして使用する場合と同様に、手動でユーザーを追加し、属性を設定する必要があります。次に、[Attributes for access control] (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。

IAM Identity Center のユーザー属性と外部のユーザー属性については IdPs、「」を参照してくださいサポートされている外部 ID プロバイダ属性

IAM Identity Center で ABAC を使い始めるには、以下のトピックを参照してください。

トピック