AWS を設定する場合は、自分の AWS アカウントおよびリソースへのアクセスをどのように許可するかを計画して、適切に設計された安全な ID 管理ソリューションを導入します。
ID ソース
IAM ベストプラクティスに従って、人間のユーザーとワークロードは他のユーザーの AWS リソースにアクセスするときに、一時的な認証情報を使用するようにします。一時的な認証情報は、IAM ロールを使用してリソースにアクセスする ID に付与されます。IAM にフェデレーションされたユーザーと IAM アイデンティティセンター内のユーザー (IAM アイデンティティセンターディレクトリにフェデレーションまたは作成されたユーザー) の両方が、IAM ロールを使用してリソースにアクセスします。
AWS を使い始める前に、次のどちらの方法で ID をどのように設定するかを計画します。
アクセス管理
ユーザーがアクセスする AWS リソースとサービスを識別し、ユーザー、グループ、ロールごとに必要なアクセス許可とポリシーを定義します。
-
IAM アイデンティティセンターを使用した場合は、IAM ID プロバイダーに加えて IAM ロールとアクセス許可ポリシーが組織内の AWS アカウントごとに自動的に作成されます。これらのロールとアクセス許可は、特定のアプリケーションや AWS アカウントにユーザーやグループを割り当てるときに指定したアクセス許可と一致します。
詳細については、「ユーザーアクセスを割り当てる」と「アプリケーションへのシングルサインオンアクセスを設定する」を参照してください。
-
ID プロバイダーを AWS アカウント内の IAM と直接フェデレーションする場合は、ユーザーが引き受けるロールのほか、ポリシーを 2 つ作成する必要があります。誰がロールを引き受けることができるかを指定する信頼ポリシーと、ロールを引き受けるユーザーがアクセスを許可または拒否する AWS アクションとリソースを指定するアクセス許可ポリシーです。
詳細については、「ID プロバイダーとフェデレーション」を参照してください。