前提条件と考慮事項 - AWS IAM Identity Center
の選択に関する考慮事項 AWS リージョンIAM Identity Center によって作成された IAM ロールのクォータIAM Identity Center と AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件と考慮事項

以下のトピックでは、IAM Identity Center をセットアップするための前提条件とその他の考慮事項について説明します。

の選択に関する考慮事項 AWS リージョン

IAM Identity Center インスタンスは、 AWS リージョン サポートされている単一の で有効にすることができます。リージョンを選択するには、ユースケースと企業ポリシーに基づいて優先順位を評価する必要があります。IAM Identity Center からの AWS アカウント およびクラウドアプリケーションへのアクセスは、この選択に依存しません。ただし、 AWS マネージドアプリケーションへのアクセスと、ID ソース AWS Managed Microsoft AD として を使用する機能はこの選択に依存する場合があります。AWS IAM Identity Center がサポートするリージョンのリストについては、「」の「IAM Identity Center エンドポイントとクォータ」を参照してください。 AWS 全般のリファレンス

を選択するための重要な考慮事項 AWS リージョン。

  • 地理的位置 – エンドユーザーの大部分に地理的に最も近いリージョンを選択すると、Amazon などの AWS アクセスポータルや AWS マネージドアプリケーションへのアクセスのレイテンシーが短縮されます SageMaker Studio。

  • AWS マネージドアプリケーションの可用性 – AWS Amazon などの マネージドアプリケーション SageMakerは、サポート AWS リージョン している でのみ動作できます。使用する AWS マネージドアプリケーション (複数可) でサポートされているリージョンで IAM Identity Center を有効にします。多くの AWS マネージドアプリケーションは、IAM Identity Center を有効にしたのと同じリージョンでのみ動作します。

  • デジタル主権 — デジタル主権の規制または企業ポリシーでは、特定の の使用を義務付ける場合があります AWS リージョン。会社の法律部に相談してください。

  • ID ソース – AWS Managed Microsoft AD または AD Connector を ID ソースとして使用している場合、そのホームリージョンは IAM Identity Center を有効に AWS リージョン した と一致する必要があります。

  • デフォルトで無効になっているリージョン – AWS もともとすべての新しい AWS リージョン が AWS アカウント デフォルトで有効になっており、ユーザーはどのリージョンでもリソースを自動的に作成できるようになりました。が新しいリージョン AWS を追加すると、その使用はすべてのアカウントでデフォルトで無効になります。デフォルトで無効になっているリージョンに IAM Identity Center をデプロイする場合は、IAM Identity Center へのアクセスを管理するすべてのアカウントでこのリージョンを有効にする必要があります。これは、それらのアカウントでそのリージョンにリソースを作成する予定がない場合にも必要です。

    組織内の現在のアカウントのリージョンを有効にできます。後で追加する新しいアカウントに対してこのアクションを繰り返す必要があります。手順については、「 ユーザーガイド」の「組織のリージョンを有効または無効にする AWS Organizations 」を参照してください。これらの追加ステップが繰り返しにならないように、デフォルトで有効になっているリージョンに IAM Identity Center をデプロイすることを選択できます。参考までに、以下のリージョンがデフォルトで有効になっています。

    • 米国東部 (オハイオ)

    • 米国東部 (バージニア北部)

    • 米国西部 (オレゴン)

    • 米国西部 (北カリフォルニア)

    • 欧州 (パリ)

    • 南米 (サンパウロ)

    • アジアパシフィック(ムンバイ)

    • 欧州 (ストックホルム)

    • アジアパシフィック(ソウル)

    • アジアパシフィック(東京)

    • 欧州 (アイルランド)

    • 欧州 (フランクフルト)

    • 欧州 (ロンドン)

    • アジアパシフィック (シンガポール)

    • アジアパシフィック (シドニー)

    • カナダ(中部)

    • アジアパシフィック (大阪)

  • クロスリージョン呼び出し – 一部のリージョンでは、IAM Identity Center が別のリージョンで Amazon Simple Email Service を呼び出して E メールを送信する場合があります。これらのクロスリージョン呼び出しでは、IAM Identity Center は特定のユーザー属性を他のリージョンに送信します。リージョンの詳細については、「AWS IAM Identity Center リージョンの可用性」を参照してください。

切り替え AWS リージョン

IAM Identity Center リージョンを切り替えるには、現在のインスタンスを削除し、別のリージョンに新しいインスタンスを作成します。既存のインスタンスで AWS マネージドアプリケーションを既に有効にしている場合は、IAM Identity Center を削除する前に、まずそれを削除する必要があります。新しいインスタンスでユーザー、グループ、アクセス許可セット、アプリケーション、割り当てを再作成する必要があります。IAM Identity Center アカウントとアプリケーション割り当て APIs を使用して設定のスナップショットを取得し、そのスナップショットを使用して新しいリージョンで設定を再構築できます。また、新しいインスタンスの マネジメントコンソールを使用して、一部の IAM Identity Center 設定を再作成する必要がある場合もあります。IAM Identity Center を削除する手順については、「」を参照してくださいIAM Identity Center 設定を削除する

IAM Identity Center によって作成された IAM ロールのクォータ

IAM アイデンティティセンターは IAM ロールを作成して、ユーザーにリソースへのアクセス許可を付与します。アクセス許可セットを割り当てると、IAM アイデンティティセンターは、対応する IAM アイデンティティセンター制御の IAM ロールを各アカウントに作成し、アクセス許可セットで指定されたポリシーをそれらのロールに適用します。IAM Identity Center は、 AWS アクセスポータルまたは を使用してロールを管理し、定義した認可されたユーザーがロールを引き受けることを許可します AWS CLI。アクセス権限セットを変更すると、IAM Identity Center は、対応する IAM ポリシーとロールがそれに応じて更新されることを保証します。

で IAM ロールを既に設定している場合は AWS アカウント、アカウントが IAM ロールのクォータに近づいているかどうかを確認することをお勧めします。アカウントあたりの IAM ロールのデフォルトクォータは 1000 ロールです。詳細については、「IAM オブジェクトクォータ」を参照してください。

クォータに近づいている場合は、クォータの増額をリクエストすることを検討してください。そうしないと、IAM ロールクォータを超えたアカウントにアクセス権限セットをプロビジョニングする際に、IAM Identity Center の問題が発生する可能性があります。クォータ引き上げのリクエストの詳細情報については、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。

注記

すでに IAM アイデンティティセンターを使用しているアカウントの IAM ロールを確認している場合は、ロール名が “AWSReservedSSO_” で始まることに気づくかもしれません。これらは、IAM Identity Center サービスがアカウントに作成したロールであり、アカウントにアクセス権限セットを割り当てたものです。

IAM Identity Center と AWS Organizations

AWS Organizations IAM Identity Center での使用には が推奨されますが、必須ではありません。組織をまだ設定していない場合は、設定する必要はありません。IAM Identity Center を有効にすると、 でサービスを有効にするかどうかを選択します AWS Organizations。組織を設定すると、組織を設定する AWS アカウント が組織の管理アカウントになります。 AWS アカウント のルートユーザーが組織管理アカウントの所有者になりました。組織に AWS アカウント 招待した追加の は、メンバーアカウントです。管理アカウントは、メンバーアカウントを管理する組織リソース、組織単位、およびポリシーを作成します。アクセス許可は管理アカウントによってメンバーアカウントに委任されます。

注記

IAM Identity Center の組織インスタンスを作成する を使用して AWS OrganizationsIAM Identity Center を有効にすることをお勧めします。組織インスタンスは IAM アイデンティティセンターのすべての機能をサポートし、一元管理機能を提供するため、おすすめのベストプラクティスです。詳細については、「IAM アイデンティティセンターの組織インスタンスとアカウントインスタンスの管理」を参照してください。

を既に設定 AWS Organizations していて、IAM Identity Center を組織に追加する場合は、すべての AWS Organizations 機能が有効になっていることを確認します。組織を作成する際、デフォルトではすべての機能が有効化されています。詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。

IAM Identity Center を有効にするには、管理認証情報を持つユーザーまたはルートユーザーとして管理アカウントにサインイン AWS Management Console して、 に AWS Organizations サインインする必要があります (他の管理ユーザーが存在しない場合は推奨されません)。 AWS Organizations メンバーアカウントの管理者認証情報でサインインしているときに IAM Identity Center を有効にすることはできません。詳細については、「 ユーザーガイド」の AWS 「組織の作成と管理AWS Organizations 」を参照してください。