委任された管理

委任管理により、登録済みのメンバーアカウントに割り当てられたユーザーが IAM Identity Center の大部分の管理タスクを簡単に実行できます。IAM Identity Center を有効にすると、IAM Identity Center インスタンスは AWS Organizations デフォルトで の管理アカウントに作成されます。これは当初、IAM Identity Center が組織のすべてのメンバーアカウントにわたってロールをプロビジョニング、プロビジョニング解除、更新できるようにするために設計されたものです。IAM Identity Center インスタンスは常に管理アカウントに存在する必要がありますが、IAM Identity Center の管理を のメンバーアカウントに委任することを選択できます。これにより AWS Organizations、管理アカウント外から IAM Identity Center を管理する機能を拡張できます。

委任管理を有効にすると、次の利点があります。

• 管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑え、セキュリティ上の懸念を軽減します。

• 特定の管理者が、アプリケーションや組織のメンバーアカウントにユーザーやグループを割り当てることができます。

IAM Identity Center の仕組みの詳細については AWS Organizations、「」を参照してくださいAWS アカウント アクセス。追加情報や、委任管理の設定方法を示す企業シナリオの例を確認するには、「セキュリティブログAWS 」の「IAM Identity Center 委任管理入門」を参照してください。

トピック

• ベストプラクティス

• 前提条件

• メンバーアカウントを作成する

• メンバーアカウントを登録解除する

• 委任管理者として登録されているメンバーアカウントが表示されます。

ベストプラクティス

委任管理を設定する前に考慮すべきベストプラクティスを以下に示します。

• 管理アカウントへの最小権限の付与 — 管理アカウントは特権の高いアカウントであり、最小権限の原則に従うため、管理アカウントへのアクセスをできるだけ少数のユーザーに制限することを強くお勧めします。委任管理者機能は、管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑えることを目的としています。また、一時的な昇格されたアクセスを使用して、必要な場合にのみこのアクセスを許可することを検討することもできます。

• 管理アカウント専用のアクセス許可セット – 管理アカウント専用のアクセス許可セットを使用します。セキュリティ上の理由から、管理アカウントへのアクセスに使用されるアクセス許可セットは、管理アカウントの IAM Identity Center 管理者のみが変更できます。委任管理者は、管理アカウントでプロビジョニングされたアクセス許可セットを変更することはできません。

• ユーザーのみを (グループではなく) 管理アカウントのアクセス許可セットに割り当てる – 管理アカウントには特別な権限があるため、コンソールまたは AWS Command Line Interface (CLI) でこのアカウントへのアクセスを割り当てるときは注意が必要です。管理アカウントにアクセスできるアクセス許可セットにグループを割り当てると、それらのグループのメンバーシップを変更するアクセス許可を持つすべてのユーザーは、それらのグループとの間でユーザーを追加/削除できるため、管理アカウントにアクセスできるユーザーに影響します。これは、ID プロバイダー (IdP) 管理者、Microsoft Active Directory Domain Service (AD DS) 管理者、IAM Identity Center 管理者など、ID ソースを制御できるすべてのグループ管理者です。したがって、管理アカウントでアクセスを許可するアクセス許可セットにユーザーを直接割り当て、グループを回避する必要があります。グループを使用して管理アカウントへのアクセスを管理する場合は、IdP に適切なコントロールが設定されていることを確認し、それらのグループを変更できるユーザーを制限し、それらのグループへの変更 (または管理アカウントのユーザーの認証情報への変更) を必要に応じてログに記録して確認します。

• Active Directory ロケーションを検討 — IAM Identity Center のアイデンティティソースとして Active Directory を使用する予定の場合は、IAM Identity Center の委任管理者機能を有効にしたメンバーアカウント内のディレクトリを探してください。IAM アイデンティティセンターの ID ソースを他のソースから Active Directory に変更する場合、または Active Directory から他のソースに変更する場合、ディレクトリは IAM アイデンティティセンターの委任された管理者メンバーアカウントに存在する必要があります。Active Directory を管理アカウントに配置する場合は、委任された管理者に必要なアクセス許可がないため、管理アカウントでセットアップを実行する必要があります。

外部 ID ソースを使用して委任管理アカウントの IAM Identity Center ID ストアアクションを制限する

IdP や などの外部 ID ソースを使用する場合は AWS Directory Service、IAM Identity Center 管理者が委任された管理アカウント内から実行できる ID ストアアクションを制限するポリシーを実装する必要があります。書き込みおよび削除オペレーションは慎重に検討する必要があります。一般に、外部 ID ソースは、ユーザーとその属性、およびグループメンバーシップの信頼できるソースです。ID ストア APIs または コンソールを使用してこれらを変更すると、通常の同期サイクル中に変更が上書きされます。これらのオペレーションは、アイデンティティの信頼できるソースの排他的な制御に任せることをお勧めします。これにより、グループメンバーシップコントロールを IdP 管理者に任せるのではなく、IAM Identity Center 管理者がグループメンバーシップを変更して、グループが割り当てたアクセス許可セットまたはアプリケーションへのアクセスを許可することも防止されます。また、委任管理アカウントから SCIM ベアラートークンを作成できるユーザーも保護する必要があります。これにより、メンバーアカウントの管理者が SCIM クライアントを介してグループとユーザーを変更できるようになる可能性があるためです。

委任管理者アカウントからの書き込みまたは削除オペレーションが適切である場合があります。たとえば、メンバーを追加せずにグループを作成し、IdP 管理者がグループを作成するのを待たずにアクセス許可セットに割り当てることができます。IdP 管理者がグループをプロビジョニングし、IdP 同期プロセスがグループメンバーを確立するまで、その割り当てには誰もアクセスできません。ユーザーまたはグループを削除して、IdP 同期プロセスがユーザーまたはグループによるアクセスの削除を待てない間にサインインまたは認可を防ぐことも適切です。ただし、このアクセス許可を悪用すると、ユーザーにとって破壊的になる可能性があります。ID ストアのアクセス許可を割り当てるときは、最小特権の原則を使用する必要があります。サービスコントロールポリシー (SCP) を使用して、委任管理アカウント管理者が許可する ID ストアアクションを制御できます。

以下の SCP の例では、Identity Store API と を使用してユーザーをグループに割り当てることを禁止しています。これは AWS Management Console、ID ソースが外部である場合に推奨されます。これは、外部 IdP AWS Directory Service との間のユーザー同期には影響しません (SCIM 経由）。

注記

外部 ID ソースを使用していても、組織はユーザーとグループのプロビジョニングのために Identity Store APIs に完全または部分的に依存する可能性があります。したがって、この SCP をアクティブ化する前に、ユーザープロビジョニングプロセスがこの Identity Store API オペレーションを使用していないことを確認する必要があります。また、グループメンバーシップの管理を特定のグループに制限する方法については、次のセクションを参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}

管理アカウントへのアクセスを許可するグループにのみユーザーを追加しないようにするには、グループ ARN を使用して、 の形式でそれらの特定のグループを参照できますarn:${Partition}:identitystore:::group/${GroupId}。Identity Store で使用できるこのリソースタイプとその他のリソースタイプは、「サービス認可リファレンス」のAWS 「Identity Store で定義されるリソースタイプ」に記載されています。SCP に追加の Identity Store APIs を含めることを検討することもできます。詳細については、「 Identity Store API リファレンス」の「アクション」を参照してください。

SCP に次のポリシーステートメントを追加することで、委任された管理者による SCIM ベアラートークンの作成を防ぐことができます。これは両方の外部 ID ソースに適用できます。

注記

委任管理者が SCIM を使用してユーザープロビジョニングを設定する必要がある場合、または SCIM ベアラートークンの定期的なローテーションを実行する必要がある場合は、委任管理者がこれらのタスクを完了できるように、この API へのアクセスを一時的に許可する必要があります。

    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }

ローカルマネージドユーザーの委任管理アカウントで IAM Identity Center ID ストアアクションを制限する

外部 IdP や を使用するのではなく、IAM Identity Center でユーザーとグループを直接作成する場合は AWS Directory Service、ユーザーの作成、パスワードのリセット、グループのメンバーシップの制御を行えるユーザーに対して予防措置を講じる必要があります。これらのアクションにより、管理者は、サインインできるユーザーと、グループのメンバーシップを通じてアクセスできるユーザーに大きな権限が与えられます。これらのポリシーは、SCPs。次のインラインポリシーの例には、2 つの目的があります。まず、特定のグループにユーザーを追加しないようにします。これを使用して、委任管理者が管理アカウントへのアクセスを許可するグループにユーザーを追加しないようにできます。次に、SCIM ベアラートークンの発行を防ぎます。

{ 
  "Version": "2012-10-17", 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}
                

IAM Identity Center 設定管理を PermissionSet 管理から分離する

外部 ID ソースの変更、SCIM トークン管理、セッションタイムアウト設定などの管理タスクをタスクから分離して、管理アカウントから個別の管理者アクセス許可セットを作成して、アクセス許可セットを作成、変更、割り当てます。

SCIM ベアラートークンの発行を制限する

SCIM ベアラートークンを使用すると、IAM アイデンティティセンターの ID ソースが Okta や Entra ID などの外部 IdP である場合、外部 ID ソースは SCIM プロトコルを介してユーザー、グループ、グループメンバーシップをプロビジョニングできます。次の SCP を設定して、委任された管理者による SCIM ベアラートークンの作成を防ぐことができます。委任管理者が SCIM でユーザープロビジョニングを設定したり、定期的な SCIM ベアラートークンローテーションを実行したりする必要がある場合は、委任管理者がこれらのタスクを完了できるように、この API へのアクセスを一時的に許可する必要があります。

    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}

アクセス許可セットタグとアカウントリストを使用して、特定のアカウントの管理を委任する

IAM Identity Center 管理者に割り当てるアクセス許可セットを作成して、アクセス許可セットを作成できるユーザーと、どのアクセス許可セットをどのアカウントに割り当てることができるかを委任できます。これは、アクセス許可セットにタグ付けし、管理者に割り当てるアクセス許可セットでポリシー条件を使用することによって行われます。たとえば、ユーザーが特定の方法でタグ付けされたアクセス許可セットを作成できるようにするアクセス許可セットを作成できます。管理者が指定されたアカウントで特定のタグを持つアクセス許可セットを割り当てることを可能にするポリシーを作成することもできます。これにより、管理者に委任された管理アカウントに対するアクセスと権限を変更する権限を与えることなく、アカウントに対する管理を委任できます。たとえば、委任管理アカウントでのみ使用するアクセス許可セットにタグを付けることで、委任管理アカウントに影響するアクセス許可セットと割り当てを変更するアクセス許可を特定のユーザーのみに付与するポリシーを指定できます。また、委任管理アカウント以外のアカウントのリストを管理するアクセス許可を他のユーザーに付与することもできます。詳細については、 AWS セキュリティブログの「 でのアクセス許可セットの管理とアカウント割り当ての委任 AWS IAM Identity Center」を参照してください。

前提条件

アカウントを委任管理者として登録する前に、まず次の環境を展開する必要があります。

• AWS Organizations は、デフォルトの管理アカウントに加えて、少なくとも 1 つのメンバーアカウントで有効化および設定する必要があります。

• ID ソースが Active Directory に設定されている場合は、IAM Identity Center の構成可能な AD 同期 機能を有効にする必要があります。