IAM アイデンティティセンターにおけるユーザー、グループ、およびプロビジョニング

IAM Identity Center を使用すると、サインインできるユーザーとアクセスできるリソースを制御できます。サインインするには、ユーザーをプロビジョニングする必要があります。その後、プロビジョニングされたユーザーまたはグループにのみアクセスを割り当てることができます。

外部 ID プロバイダーから取得する場合、および IAM アイデンティティセンター内で直接作成する場合の両方について、ユーザーとグループのプロビジョニング方法について説明します。

ユーザー名と E メールアドレスの一意性

IAM Identity Center では、各ユーザーに一意のユーザー名が必要です。ユーザー名はユーザーのプライマリ識別子です。ユーザー名はユーザーの E メールアドレスと一致する必要はありません。IAM Identity Center では、ユーザーのすべてのユーザー名と E メールアドレスが NULL ではなく一意である必要があります。

グループ

グループは、定義するユーザーの論理的な組み合わせです。グループを作成し、グループにユーザーを追加できます。IAM Identity Center は、ネストされたグループ (グループ内のグループ) をサポートしていません。グループは、 AWS アカウント および アプリケーションへのアクセスを割り当てる場合に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

ユーザーおよびグループのプロビジョニング

プロビジョニングは、ユーザーおよびグループの情報を IAM アイデンティティセンター、 AWS マネージドアプリケーション、またはカスタマーマネージドアプリケーションで使用できるようにするプロセスです。ユーザーとグループを IAM Identity Center で直接作成することも、ID ソースを IAM Identity Center に接続することもできます。IAM Identity Center を使用すると、接続されたアプリケーションと へのアクセスをユーザーとグループに割り当てることができます AWS アカウント。

IAM Identity Center のプロビジョニングは、使用する ID ソースに応じて異なります。詳細については、「ID ソースを管理する」を参照してください。

ユーザーとグループのプロビジョニング解除

プロビジョニング解除は、IAM アイデンティティセンターからユーザーとグループ情報を削除するプロセスです。

IAM アイデンティティセンターで Active Directory または外部 ID プロバイダーを使用している場合は、IAM アイデンティティセンターではなく、これらの ID ソースからユーザーとグループを削除する必要があります。IAM Identity Center ユーザーとグループを削除しても、ID ソースが Active Directory または外部 ID プロバイダーである場合は、完全に削除されません。IdP 内のユーザーの IAM アイデンティティセンターへの自動プロビジョニングを設定している場合、以前に削除されたこれらのユーザーとグループは IAM アイデンティティセンターで再プロビジョニングされます。

IAM アイデンティティセンターのユーザーまたはグループのプロビジョニングを解除する必要がある場合は、まず、プロビジョニングを解除するユーザーまたはグループに対するアクセス許可セットまたはアプリケーションの割り当てをすべて削除する必要があります。それ以外の場合は、IAM アイデンティティセンターに未割り当てのアクセス許可セットとアプリケーションの割り当てがあります。