IAM Identity Center とは - AWS IAM Identity Center
Identity Center IAM を使用する理由IAM Identity Center の名前変更

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center とは

AWS IAM Identity Center は、ワークフォースユーザーを Amazon Q Developer や Amazon などの AWS マネージドアプリケーション QuickSight、およびその他の AWS リソースに接続するための AWS ソリューションです。既存の ID プロバイダーを接続してディレクトリからユーザーとグループを同期したり、IAMIdentity Center でユーザーを直接作成および管理したりできます。その後、IAMIdentity Center を次のいずれかまたは両方に使用できます。

  • アプリケーションへのユーザーアクセス

  • へのユーザーアクセス AWS アカウント

へのアクセスIAMに を既に使用していますか AWS アカウント?

IAM Identity Center を使用して AWS マネージドアプリケーションにアクセスするために、現在の AWS アカウント ワークフローを変更する必要はありません。アクセスに または IAM ユーザーとのフェデレーションIAMを使用している場合、ユーザーは常に同じ AWS アカウント 方法で AWS アカウント に引き続きアクセスでき、既存のワークフローを引き続き使用してそのアクセスを管理できます。

Identity Center IAM を使用する理由

IAM Identity Center は、以下の主要な機能を通じて、アプリケーションまたは AWS アカウント、またはその両方へのワークフォースユーザーアクセスを合理化および簡素化します。

AWS マネージドアプリケーションとの統合

Amazon Q Developer や などの AWS マネージドアプリケーションは IAM Identity Center と Amazon Redshift 統合されます。IAM Identity Center は、 AWS マネージドアプリケーションにユーザーとグループの共通のビューを提供します。

アプリケーション間での信頼されたアイデンティティのプロパゲーション

信頼できる ID の伝播により、Amazon などの AWS マネージドアプリケーション QuickSight は、ユーザーの ID を などの他の AWS マネージドアプリケーションと安全に共有 Amazon Redshift し、ユーザーの ID に基づいて AWS リソースへのアクセスを許可できます。 CloudTrail イベントはユーザーとユーザーが開始したアクションに基づいてログに記録されるため、ユーザーアクティビティをより簡単に監査できます。これにより、誰が何にアクセスしたかを理解しやすくなります。 end-to-end 設定ガイダンスなど、サポートされているユースケースについては、「」を参照してください信頼できる ID の伝播のユースケース

複数の にアクセス許可を割り当てる 1 つの場所 AWS アカウント

マルチアカウントアクセス許可を使用すると、IAMIdentity Center は、複数の のユーザーのグループにアクセス許可を割り当てるための単一の場所を提供します AWS アカウント。一般的な職務に基づいてアクセス許可を作成したり、セキュリティニーズを満たすカスタム権限を定義したりすることができます。その後、これらのアクセス許可をワークフォースユーザーに割り当てて、特定の へのアクセスを制御できます AWS アカウント。

このオプション機能は、IAMIdentity Center の組織インスタンスでのみ使用できます。

へのユーザーアクセスを簡素化する 1 つのフェデレーションポイント AWS

IAM Identity Center は 1 つのフェデレーションポイントを提供することで、複数の AWS マネージドアプリケーションと を使用するために必要な管理作業を削減します AWS アカウント。IAM Identity Center では、フェデレーションは 1 回のみであり、SAML 2.0ID プロバイダーを使用するときに管理できる証明書は 1 つだけです。IAM Identity Center は、信頼できる ID の伝播のユースケースや、ユーザーが他のユーザーと AWS リソースへのアクセスを共有する場合に、ユーザーとグループの共通のビューを AWS マネージドアプリケーションに提供します。

Identity Center と連携するように一般的に使用される IAM ID プロバイダーを設定する方法については、「」を参照してください入門チュートリアル。既存の ID プロバイダーがない場合は、IAMIdentity Center でユーザーを直接作成および管理できます。

2 つのデプロイモード

IAM Identity Center は、組織インスタンスアカウントインスタンスの 2 種類のインスタンスをサポートしています。組織インスタンスはベストプラクティスです。これは へのアクセスを管理できる唯一のインスタンスであり AWS アカウント 、アプリケーションの本番稼働用のすべての使用に推奨されます。組織インスタンスは AWS Organizations 管理アカウントにデプロイされ、 全体でユーザーアクセスを管理する単一のポイントを提供します AWS。

アカウントインスタンスは、有効になっている AWS アカウント にバインドされます。IAM Identity Center のアカウントインスタンスは、一部の AWS マネージドアプリケーションの分離されたデプロイをサポートする場合にのみ使用します。詳細については、「IAM Identity Center の組織インスタンスとアカウントインスタンスを管理する」を参照してください。

ユーザー向けのユーザーフレンドリーなウェブポータルアクセス

AWS アクセスポータルは、ユーザーが割り当てられたすべてのアプリケーション AWS アカウント、またはその両方にシームレスにアクセスできるようにする、ユーザーフレンドリーなウェブポータルです。

IAM Identity Center の名前変更

2022 年 7 月 26 日、 AWS Single Sign-On の名前が に変更されました AWS IAM Identity Center。

レガシー名前空間は変わりません。

sso および identitystoreAPI名前空間と、以下の関連する名前空間は、下位互換性のために変更されません