AWS IAM Identity Center の概念 AWS CLI - AWS Command Line Interface
IAM Identity Center とは用語IAM Identity Center の仕組み追加リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IAM Identity Center の概念 AWS CLI

このトピックでは、 AWS IAM Identity Center (IAM Identity Center) の主要な概念について説明します。IAM Identity Center は、既存の ID プロバイダー (IdP ) と統合することで、複数の AWS アカウント、アプリケーションSDKs、、および ツールでのユーザーアクセス管理を簡素化するクラウドベースのIAMサービスです。これにより、一元化されたユーザーポータルを通じて安全なシングルサインオン、アクセス許可管理、監査が可能になり、組織のアイデンティティとアクセスガバナンスが合理化されます。

IAM Identity Center とは

IAM Identity Center は、クラウドベースのアイデンティティとアクセス管理 (IAM) サービスであり、複数の AWS アカウント およびビジネスアプリケーションへのアクセスを一元管理できます。

権限のあるユーザーが、既存の企業認証情報を使用して、アクセス許可を付与された AWS アカウント およびアプリケーションにアクセスできるユーザーポータルを提供します。これにより、組織は一貫したセキュリティポリシーを適用し、ユーザーアクセス管理を合理化できます。

使用する IdP に関係なく、IAMIdentity Center はこれらの区別を抽象化します。例えば、ブログ記事IAM「アイデンティティセンターの次の進化」で説明されているように、Microsoft Azure AD を接続できます。

注記

アカウント ID とロールを使用しないベアラ認証の使用については、「Amazon CodeCatalyst ユーザーガイド」のAWS CLI 「 で を使用するように設定 CodeCatalystする」を参照してください。

用語

IAM Identity Center を使用する際の一般的な用語は次のとおりです。

ID プロバイダー (IdP)

Identity Center、Microsoft Azure AD、Okta、または独自の企業ディレクトリサービスなどの IAM ID 管理システム。

AWS IAM Identity Center

IAM Identity Center は、 AWS 所有の IdP サービスです。以前は AWS シングルサインオンと呼ばれていましたSDKsが、ツールは下位互換性のためにssoAPI名前空間を保持します。詳細については、「 ユーザーガイド」のIAM「アイデンティティセンターの名前変更」を参照してください。 AWS IAM Identity Center

AWS アクセスポータル

承認された AWS アカウント、 サービス、リソースにアクセスURLするための一意の IAM Identity Center。

フェデレーション

IAM Identity Center と ID プロバイダー間の信頼を確立してシングルサインオンを有効にするプロセス (SSO)。

AWS アカウント

を通じてユーザーにアクセス権を付与 AWS アカウント する AWS IAM Identity Center。

アクセス許可セット、 AWS 認証情報、認証情報、sigv4 認証情報

ユーザーまたはグループに割り当てて、 へのアクセスを許可できるアクセス許可の事前定義されたコレクション AWS のサービス。

登録スコープ、アクセススコープ、スコープ

スコープは、アプリケーションのユーザーアカウントへのアクセスを制限するための OAuth 2.0 のメカニズムです。アプリケーションは 1 つ以上のスコープをリクエストでき、アプリケーションに発行されたアクセストークンは付与されたスコープに限定されます。スコープの詳細については、IAM「 Identity Center ユーザーガイド」のOAuth「2.0 アクセススコープ」を参照してください。

トークン、更新トークン、アクセストークン

トークンは、認証時に発行される一時的なセキュリティ認証情報です。これらのトークンには、ID と付与されたアクセス許可に関する情報が含まれています。

IAM Identity Center ポータルから AWS リソースまたはアプリケーションにアクセスすると、トークンは認証と認可 AWS のために に提示されます。これにより AWS 、 はアイデンティティを検証し、リクエストされたアクションを実行するために必要なアクセス許可があることを確認します。

認証トークンは、セッション名に基づくJSONファイル名で~/.aws/sso/cacheディレクトリの下のディスクにキャッシュされます。

セッション

IAM Identity Center セッションとは、ユーザーが認証され、 AWS リソースまたはアプリケーションへのアクセスが許可されている期間を指します。ユーザーが IAM Identity Center ポータルにサインインすると、セッションが確立され、ユーザーのトークンは指定された期間有効です。セッション期間の設定の詳細については、AWS IAM Identity Center 「 ユーザーガイド」の「セッション期間の設定」を参照してください。

セッション中、セッションがアクティブである限り、再認証することなく、異なる AWS アカウントとアプリケーション間を移動できます。セッションの有効期限が切れたら、再度サインインしてアクセスを更新します。

IAM Identity Center セッションは、ユーザーアクセス認証情報の有効性を制限することで、シームレスなユーザーエクスペリエンスを提供すると同時に、セキュリティのベストプラクティスを適用するのに役立ちます。

IAM Identity Center の仕組み

IAM Identity Center は、IAMIdentity Center、Microsoft Azure AD、Okta などの組織の ID プロバイダーと統合されます。ユーザーはこの ID プロバイダーに対して認証され、IAMIdentity Center はこれらの ID を環境内の適切なアクセス許可とアクセスにマッピングします AWS 。

次の IAM Identity Center ワークフローは、IAMIdentity Center を使用する AWS CLI ように を既に設定していることを前提としています。

  1. 任意のターミナルで、 aws sso login コマンドを実行します。

  2. にサインイン AWS アクセスポータル して、新しいセッションを開始します。

    • 新しいセッションを開始すると、キャッシュされる更新トークンとアクセストークンを受け取ります。

    • 既にアクティブなセッションがある場合、既存のセッションは再利用され、既存のセッションの有効期限が切れると期限切れになります。

  3. config ファイルで設定したプロファイルに基づいて、IAMIdentity Center は適切なアクセス許可セットを引き受け、関連する AWS アカウント および アプリケーションへのアクセスを許可します。

  4. AWS CLI、SDKs、および Tools は、引き受けたIAMロールを使用して、セッションの有効期限が切れるまで Amazon S3 バケットを作成する AWS のサービス など、 を呼び出します。

  5. IAM Identity Center のアクセストークンは 1 時間ごとにチェックされ、更新トークンを使用して自動的に更新されます。

    • アクセストークンの有効期限が切れている場合、 SDKまたは ツールは更新トークンを使用して新しいアクセストークンを取得します。次に、これらのトークンのセッション期間を比較し、更新トークンの有効期限が切れていない場合は、IAMIdentity Center が新しいアクセストークンを提供します。

    • 更新トークンの有効期限が切れている場合、新しいアクセストークンは提供されず、セッションは終了しました。

  6. セッションは、更新トークンの有効期限が切れるか、 aws sso logout コマンドを使用して手動でログアウトすると終了します。キャッシュされた認証情報は削除されます。IAM Identity Center を使用してサービスへのアクセスを継続するには、 aws sso login コマンドを使用して新しいセッションを開始する必要があります。

追加リソース

その他のリソースは次のとおりです。