委任された管理

委任管理は、登録されたメンバーアカウントの割り当てられたユーザーがほとんどの IAM Identity Center 管理タスクを実行するのに便利な方法です。IAM Identity Center を有効にすると、IAMIdentity Center インスタンスは AWS Organizations デフォルトで の管理アカウントに作成されます。これはもともと、IAMIdentity Center が組織のすべてのメンバーアカウントでロールをプロビジョニング、プロビジョニング解除、更新できるようにこのように設計されました。IAM Identity Center インスタンスは常に管理アカウントに存在する必要がありますが、IAMIdentity Center の管理を のメンバーアカウントに委任することを選択できるため AWS Organizations、IAMIdentity Center の管理機能を管理アカウント外から拡張できます。

委任管理を有効にすると、次の利点があります。

• 管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑え、セキュリティ上の懸念を軽減します。

• 特定の管理者が、アプリケーションや組織のメンバーアカウントにユーザーやグループを割り当てることができます。

IAM Identity Center と の連携の詳細については、 AWS Organizations「」を参照してくださいへのアクセスを管理する AWS アカウント。追加情報と、委任管理の設定方法を示す会社のシナリオ例については、 AWS セキュリティブログのIAM「アイデンティティセンターの委任管理の開始方法」を参照してください。

ベストプラクティス

委任管理を設定する前に考慮すべきいくつかのベストプラクティスを以下に示します。

• 管理アカウントへの最小権限の付与 — 管理アカウントは特権の高いアカウントであり、最小権限の原則に従うため、管理アカウントへのアクセスをできるだけ少数のユーザーに制限することを強くお勧めします。委任管理者機能は、管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑えることを目的としています。

• 管理アカウントでのみ使用する権限セットを作成 — これにより、管理アカウントにアクセスするユーザー専用の権限セットを簡単に管理できるようになり、委任された管理者アカウントによって管理される権限セットと区別しやすくなります。

• Active Directory の場所を検討する – Active Directory を IAM Identity Center の ID ソースとして使用する場合は、IAMIdentity Center の委任管理者機能を有効にしたメンバーアカウントでディレクトリを見つけます。IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center の委任された管理者メンバーアカウントが存在する場合は、そのアカウントに存在 (所有) する必要があります。それ以外の場合は、管理アカウントに存在する必要があります。

• 管理アカウントでのみユーザー割り当てを作成 — 委任された管理者は、管理アカウントにプロビジョニングされた権限セットを変更できません。ただし、委任管理者はグループとグループ割り当てを追加、編集、削除できます。

前提条件

アカウントを委任管理者として登録する前に、まず次の環境を展開する必要があります。

• AWS Organizations は、デフォルトの管理アカウントに加えて、少なくとも 1 つのメンバーアカウントで有効化および設定する必要があります。

• ID ソースが Active Directory に設定されている場合は、IAM Identity Center の構成可能な AD 同期 機能を有効にする必要があります。

メンバーアカウントを作成する

委任管理を設定するには、まず組織のメンバーアカウントを委任管理者として登録する必要があります。十分なアクセス許可を持つそのメンバーアカウントのユーザーは、IAMIdentity Center への管理アクセス権を持ちます。メンバーアカウントが委任管理用に正常に登録されると、そのメンバーアカウントは「委任管理者アカウント」と呼ばれます。委任管理者アカウントが実行できるタスクの詳細については、AWS アカウント タイプ を参照してください。

IAM Identity Center では、委任された管理者として一度に 1 つのメンバーアカウントのみを登録できます。メンバーアカウントは、管理アカウントの認証情報を使用してサインインしている場合にのみ登録できます。

AWS 組織内の特定のメンバーアカウントを委任された管理者として登録して、IAMIdentity Center への管理者アクセス権を付与するには、次の手順に従います。

重要

このオペレーションは、このメンバーアカウントの管理者ユーザーに IAM Identity Center 管理アクセスを委任します。この委任された管理者アカウントに対して十分なアクセス許可を持つすべてのユーザーは、以下を除き、アカウントからすべての IAM Identity Center 管理タスクを実行できます。

• IAM Identity Center の有効化

• IAM Identity Center 設定の削除

• 管理アカウントにプロビジョニングされた権限セットの管理

• 他のメンバーアカウントを委任管理者として登録または登録解除する

• 管理アカウントでのユーザーアクセスの有効化または無効化

委任管理者はグループメンバーシップを編集できます。

メンバーアカウントを登録する

1. の管理アカウントの認証情報 AWS Management Console を使用して にサインインします AWS Organizations。を実行するには、管理アカウントの認証情報が必要ですRegisterDelegatedAdministratorAPI。

2. IAM Identity Center が有効になっているリージョンを選択し、IAMIdentity Center コンソール を開きます。

3. [設定] を選択し、[管理] タブを選択します。

4. [ の委任管理者]セクションで、[登録] を選択します。

5. 委任管理者の登録ページで、登録する AWS アカウント を選択し、アカウントの登録 を選択します。

メンバーアカウントを登録解除する

メンバーアカウントは、管理アカウントの認証情報を使用してサインインした場合にのみ、登録解除できます。

委任された管理者として以前に指定された AWS 組織のメンバーアカウントを登録解除して、IAMIdentity Center から管理アクセスを削除するには、次の手順に従います。

重要

アカウントの登録を解除すると、すべての管理者ユーザーがそのアカウントから IAM Identity Center を管理する機能を効果的に削除できます。その結果、このアカウントから IAM Identity Center の ID、アクセス管理、認証、またはアプリケーションアクセスを管理できなくなります。このオペレーションは、IAMIdentity Center で設定されたアクセス許可や割り当てには影響しないため、エンドユーザーは引き続きアプリケーションや AWS アクセスポータル内 AWS アカウント からアクセスできるため、エンドユーザーには影響しません。

メンバーアカウントを登録解除する

1. の管理アカウントの認証情報 AWS Management Console を使用して にサインインします AWS Organizations。を実行するには、管理アカウントの認証情報が必要ですDeregisterDelegatedAdministratorAPI。

2. IAM Identity Center が有効になっているリージョンを選択し、IAMIdentity Center コンソール を開きます。

3. [設定] を選択し、[管理] タブを選択します。

4. [委任管理者]セクションで、[登録解除] を選択します。

5. [アカウントの登録解除] ダイアログボックスでセキュリティ上の影響を確認し、メンバーアカウントの名前を入力して内容がわかっていることを確認します。

6. [アカウントの登録解除] を選択します。

委任管理者として登録されているメンバーアカウントが表示されます。

Identity IAM Center の委任管理者として設定 AWS Organizations されている のメンバーアカウントを確認するには、次の手順に従います。

登録済みのメンバーアカウントを表示するには

1. IAM Identity Center コンソール を開きます。

2. [設定] を選択します。

3. [詳細] セクションで、[委任管理者] の下にある登録済みアカウント名を探します。この情報は、[管理] タブを選択し、[委任管理者] セクションで表示することでも確認できます。