委任された管理 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

委任された管理

委任管理は、登録されたメンバーアカウントの割り当てられたユーザーが、ほとんどの IAM Identity Center 管理タスクを実行するのに便利な方法です。IAM Identity Center を有効にすると、IAMIdentity Center インスタンスは AWS Organizations デフォルトで の管理アカウントに作成されます。これは、もともと IAM Identity Center が組織のすべてのメンバーアカウントでロールをプロビジョニング、プロビジョニング解除、更新できるように、このように設計されました。IAM Identity Center インスタンスは常に管理アカウントに存在する必要がありますが、IAMIdentity Center の管理を のメンバーアカウントに委任することを選択できるため AWS Organizations、管理アカウント外から IAM Identity Center を管理する機能を拡張できます。

委任管理を有効にすると、次の利点があります。

  • 管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑え、セキュリティ上の懸念を軽減します。

  • 特定の管理者が、アプリケーションや組織のメンバーアカウントにユーザーやグループを割り当てることができます。

IAM Identity Center と の連携の詳細については AWS Organizations、「」を参照してくださいAWS アカウント アクセス。追加情報と、委任管理の設定方法を示す会社のシナリオ例については、 AWS セキュリティブログのIAM「アイデンティティセンターの委任管理の開始方法」を参照してください。

ベストプラクティス

委任管理を設定する前に考慮すべきいくつかのベストプラクティスを以下に示します。

  • 管理アカウントへの最小権限の付与 — 管理アカウントは特権の高いアカウントであり、最小権限の原則に従うため、管理アカウントへのアクセスをできるだけ少数のユーザーに制限することを強くお勧めします。委任管理者機能は、管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑えることを目的としています。

  • 管理アカウントでのみ使用する権限セットを作成 — これにより、管理アカウントにアクセスするユーザー専用の権限セットを簡単に管理できるようになり、委任された管理者アカウントによって管理される権限セットと区別しやすくなります。

  • Active Directory の場所を検討する – Active Directory を IAM Identity Center の ID ソースとして使用する場合は、IAMIdentity Center の委任管理者機能を有効にしたメンバーアカウントのディレクトリを見つけます。IAM Identity Center の ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、ディレクトリは IAM Identity Center の委任された管理者メンバーアカウントが存在する場合は、そのアカウントに存在する必要があります (所有する必要があります)。存在しない場合は、管理アカウントに存在する必要があります。

  • 管理アカウントでのみユーザー割り当てを作成 — 委任された管理者は、管理アカウントにプロビジョニングされた権限セットを変更できません。ただし、委任管理者はグループとグループ割り当てを追加、編集、削除できます。

前提条件

アカウントを委任管理者として登録する前に、まず次の環境を展開する必要があります。

  • AWS Organizations は、デフォルトの管理アカウントに加えて、少なくとも 1 つのメンバーアカウントで有効にして設定する必要があります。

  • ID ソースが Active Directory に設定されている場合は、IAM Identity Center の設定可能な AD 同期 機能を有効にする必要があります。