IAM Identity Center とは何ですか?
AWS IAM Identity Center は、ワークフォースユーザーを Amazon Q Developer や Amazon QuickSight などの AWS マネージドアプリケーションやその他の AWS リソースに接続するための AWS ソリューションです。既存の ID プロバイダーを接続してお手持ちのディレクトリとの間でユーザーやグループを同期したり、あるいは IAM Identity Center 内でユーザーを直接作成して管理することができます。これにより、IAM Identity Center を次のいずれかまたは両方に使用できます。
-
アプリケーションへのユーザーアクセス
-
AWS アカウントへのユーザーアクセス
AWS アカウントへのアクセスに IAM を既に使用していますか?
IAM Identity Center を使用して AWS マネージドアプリケーションにアクセスするのに現在の AWS アカウントワークフローを変更する必要はありません。AWS アカウントへのアクセスに IAM とのフェデレーションまたは IAM ユーザーを使用している場合、各ユーザーはこれまでと同じ方法で AWS アカウントにアクセスし、既存のワークフローを使用してアクセスを管理することができます。
IAM Identity Center を使用するメリット
IAM Identity Center は、主に以下の機能を通じて、ワークフォースユーザーによるアプリケーションまたは AWS アカウント、またはその両方へのアクセスを合理化しシンプルにします。
- AWS 管理アプリケーションとの 統合
-
Amazon Q Developer や Amazon Redshift などの AWS マネージドアプリケーションは、IAM Identity Center と統合されます。IAM Identity Center は、ユーザーやグループの共通ビューを AWS マネージドアプリケーションに提供します。
- アプリケーション間での信頼できる ID の伝播
-
信頼できる ID の伝播により、Amazon QuickSight などの AWS マネージドアプリケーションは、ユーザー ID を Amazon Redshift などの他の AWS マネージドアプリケーションと安全に共有し、ユーザー ID に基づいて AWS リソースへのアクセスを許可することができます。CloudTrail イベントはユーザーとユーザーが開始したアクションに基づいてログ記録されるため、ユーザーアクティビティをより簡単に監査できます。これにより、誰が何にアクセスしたかを一目で把握できます。エンドツーエンドの構成ガイダンスなど、サポートされているユースケースについては、「信頼できる ID の伝播のユースケース」を参照してください。
- 複数の AWS アカウントにアクセス許可を割り当てることができる一元化されたロケーション
-
IAM Identity Center は、マルチアカウントアクセス許可機能により、複数の AWS アカウントのユーザーグループにアクセス許可を割り当てることのできる一元化されたロケーションを提供します。一般的な職務に基づいてアクセス許可を作成したり、セキュリティニーズを満たすカスタム権限を定義したりすることができます。それらの権限をワークフォースユーザーに割り当てることにより、特定の AWS アカウントへのアクセスを制御できます。
このオプション機能は、IAM Identity Center の組織インスタンスでのみ使用できます。
- 1 つのフェデレーションポイントで AWS へのユーザーアクセスを簡素化する
-
単一のフェデレーションポイントを提供することで、IAM Identity Center は 複数の AWS マネージドアプリケーションや AWS アカウントの使用に必要な管理作業の量を減らします。例えば
SAML 2.0
ID プロバイダーを使用する場合、IAM Identity Center では必要なフェデレーションは 1 回のみで、管理する証明書は 1 つだけです。IAM Identity Center は、信頼できる ID の伝播のユースケースや、ユーザーが他のユーザーと AWS リソースへのアクセスを共有する場合に、AWS マネージドアプリケーションにユーザーおよびグループの共通のビューを提供します。 一般的な ID プロバイダーを IAM Identity Center と連携するための設定方法については、「IAM Identity Center の ID ソースに関するチュートリアル」を参照してください。すでに使用している ID プロバイダーがない場合は、IAM Identity Center でユーザーを直接作成および管理できます。
- 2 つのデプロイモード
-
IAM アイデンティティセンターは、組織インスタンスとアカウントインスタンスの 2 種類のインスタンスをサポートします。組織インスタンスはベストプラクティスです。AWS アカウント へのアクセスを管理できる唯一のインスタンスであり、アプリケーションを本番環境で使用するすべての場合に推奨されます。組織インスタンスは AWS Organizations 管理アカウントにデプロイされ、AWS 全体のユーザーアクセスを一元的に管理できます。
アカウントインスタンスは、有効化されている AWS アカウント へバインドされます。IAM Identity Center のアカウントインスタンスは、特定の AWS マネージドアプリケーションの個別のデプロイをサポートする場合にのみ使用してください。詳細については、「IAM Identity Center の組織インスタンスとアカウントインスタンス」を参照してください。
- ユーザー向けの使いやすい Web ポータルアクセス
-
AWS アクセスポータルは、ユーザーに割り当てられたすべてのアプリケーション、AWS アカウント、またはその両方へのシームレスなアクセスを提供する、使いやすい Web ポータルです。
IAM Identity Center の名称変更
2022 年 7 月 26 日、AWSシングルサインオン は AWS IAM Identity Center に名称が変更されました。
レガシー名前空間は変わりません。
sso
および identitystore
API 名前空間、および以下の関連名前空間は、下位互換性を保つため変更されていません。
-
CLI コマンド
-
AWSSSO
とAWSIdentitySync
プレフィックスを含む管理ポリシー -
sso
とidentitystore
を含むサービスエンドポイント -
AWS::SSO
プレフィックスを含む AWS CloudFormation リソース -
AWSServiceRoleForSSO
を含むサービスにリンクされたロール -
sso
とsinglesignon
を含むコンソール URL -
singlesignon
を含むドキュメンテーション URL