IAM Identity Center に関する考慮事項 - AWS 設定
Active Directory または外部 IdPAWS OrganizationsIAM ロール次世代ファイアウォールとセキュアウェブゲートウェイ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center に関する考慮事項

以下のトピックには、特定の環境用に IAM Identity Center を設定するためのガイダンスが記載されています。パート 2: IAM Identity Center での管理ユーザーの作成 に進む前に、ご使用の環境に適用されるガイダンスを理解してください。

Active Directory または外部 IdP

Active Directory または外部 IdP ですでにユーザーとグループを管理している場合は、IAM Identity Center を有効にして ID ソースを選択する際に、この ID ソースの接続を検討することをお勧めします。デフォルトの Identity Center ディレクトリでユーザーやグループを作成する前に接続しておくと、後から ID ソースを変更する場合に必要となる追加の設定を回避できます。

Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。

  • AWS Managed Microsoft AD を使用している場合は、AWS Managed Microsoft AD ディレクトリが設定されている場所と同じ AWS リージョン で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、AWS アクセスポータルでは、ディレクトリと同じアクセス URL が使用されます。

  • 管理アカウントにある Active Directory を使用してください。

    AWS Directory Service に既存の AD Connector および AWS Managed Microsoft AD ディレクトリを設定し、それを AWS Organizations 管理アカウント内に配置する必要があります。一度に接続できる AD Connector あるいは AWS Managed Microsoft AD は、1 つのみです。複数のドメインやフォレストをサポートする必要がある場合は、AWS Managed Microsoft AD を使用してください。詳細については、以下を参照してください。

  • 委任された管理者アカウントにある Active Directory を使用してください。

    IAM Identity Center の委任管理を有効にし、IAM ID ソースとして Active Directory を使用する予定の場合は、委任された管理者アカウントにある AWS ディレクトリに設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリを使用できます。

    IAM Identity Center ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に配置する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

AWS Organizations

AWS アカウント は AWS Organizations によって管理されている必要があります。まだ組織を設定していない場合は、必要な操作はありません。IAM Identity Center を有効にするときに、AWS で組織を作成するかどうかを選択できます。

すでに AWS Organizations を設定している場合は、すべての機能が有効になっていることを確認してください。詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。

IAM Identity Center を有効にするには、AWS Organizations 管理アカウントの認証情報を使用して AWS Management Console にサインインする必要があります。AWS Organizations メンバーアカウントの認証情報を使用してサインインしている場合は、IAM Identity Center を有効にできません。詳細については、「AWS Organizations ユーザーガイド」の「AWS 組織の作成と管理」を参照してください。

IAM ロール

AWS アカウント で IAM ロールをすでに設定している場合は、アカウントが IAM ロールのクォータに近づいているかどうかを確認することをお勧めします。詳細については、「IAM オブジェクトクォータ」を参照してください。

クォータに近づいている場合は、クォータ引き上げをリクエストすることを検討してください。これを行わない場合、IAM ロールのクォータを超えたアカウントにアクセス許可設定をプロビジョニングする際に、IAM Identity Center で問題が発生する可能性があります。クォータ引き上げのリクエストの詳細情報については、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。

次世代ファイアウォールとセキュアウェブゲートウェイ

NGFW や SWG などのウェブコンテンツフィルタリングソリューションを使用して、特定の AWS ドメインや URL エンドポイントへのアクセスをフィルタリングする場合は、以下のドメインや URL エンドポイントをウェブコンテンツフィルタリングソリューションの許可リストに追加する必要があります。

特定の DNS ドメイン

  • *.awsapps.com (http://awsapps.com/)

  • *.signin.aws

特定の URL エンドポイント

  • https://[yourdirectory].awsapps.com/start

  • https://[yourdirectory].awsapps.com/login

  • https://[yourregion].signin.aws/platform/login