AWS Control Tower での Identity and Access Management

• AWS アカウントのルートユーザー – を初めて作成したとき AWS アカウント、すべての への完全なアクセス権を持つ ID から始めます。 AWS アカウントの サービスとリソース。この ID は と呼ばれます。 AWS アカウントのルートユーザー。アカウントの作成に使用した E メールアドレスとパスワードでサインインすると、このアイデンティティにアクセスできます。日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことを強くお勧めします。代わりに、最初の IAM Identity Center ユーザー (推奨) またはユーザー (ほとんどのユースケースではベストプラクティスではない) を作成する場合にのみ、ルートIAMユーザーを使用するというベストプラクティスに従ってください。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。詳細については、「ルートユーザーとしてサインインする場合」を参照してください。

• IAM ユーザー – IAMユーザーは 内のアイデンティティです。 AWS 特定のカスタマイズされたアクセス許可を持つ アカウント。IAM ユーザーの認証情報を使用して にサインインし、 AWS などのウェブページ AWS マネジメントコンソール、 AWS ディスカッションフォーラム、または AWS サポートセンター。 AWS のベストプラクティスでは、長期的な認証情報を持つユーザーを作成するとセキュリティリスクが高くなるため、IAMユーザーではなく IAM Identity Center IAM ユーザーを作成することをお勧めします。

  サインイン認証情報に加えて、特定の目的でIAMユーザーを作成する必要がある場合は、IAMユーザーごとにアクセスキーを生成できます。これらのキーは、 を呼び出すときに使用できます。 AWS は、プログラムで、複数の のいずれかを介して、SDKsまたは を使用してサービスを提供します。 AWS コマンドラインインターフェイス (CLI）。SDK および CLIツールは、 アクセスキーを使用してリクエストに暗号で署名します。を使用しない場合 AWS ツールの場合は、リクエストに自分で署名する必要があります。AWS Control Tower は、署名バージョン 4 をサポートしています。これは、インバウンドAPIリクエストを認証するためのプロトコルです。リクエストの認証の詳細については、「」の「署名バージョン 4 の署名プロセス」を参照してください。 AWS 全般のリファレンス。

• IAM ロール – IAMロールは、特定のアクセス許可を持つアカウントで作成できるIAMアイデンティティです。IAM ロールは、 であるという点で IAM ユーザーと似ています。 AWS ID と、ID が で実行できることとできないことを決定するアクセス許可ポリシーがあります。 AWS。 ただし、ロールは 1 人の人物に一意に関連付けられるのではなく、それを必要とするすべての人が引き受けることが意図されています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。IAM 一時的な認証情報を持つ ロールは、以下の状況で役立ちます。

  • フェデレーティッドユーザーアクセス — IAM ユーザーを作成する代わりに、 から既存の ID を使用できます。 AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダー。このようなユーザーはフェデレーションユーザーと呼ばれます。 AWS は、ID プロバイダーを介してアクセスがリクエストされたときに、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、「 IAMユーザーガイド」の「フェデレーティッドユーザーとロール」を参照してください。

  • AWS サービスアクセス – サービスロールは、サービスがユーザーに代わってアカウントでアクションを実行するために引き受ける IAM ロールです。をセットアップするとき AWS サービス環境では、サービスが引き受けるロールを定義する必要があります。このサービスロールには、サービスが にアクセスするために必要なすべてのアクセス許可が含まれている必要があります。 AWS 必要な リソース。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、許可を選択することができます。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。内からサービスロールを作成、変更、削除できますIAM。例えば、Amazon Redshift がユーザーに代わって Simple Storage Service (Amazon S3) バケットにアクセスし、そのバケットのデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、「 にアクセス許可を委任するロールの作成」を参照してください。 AWS 「 ユーザーガイド」の「 のサービス」。 IAM

  • Amazon で実行されているアプリケーション EC2 – IAMロールを使用して、Amazon EC2インスタンスで実行され、 を作成しているアプリケーションの一時的な認証情報を管理できます。 AWS CLI または AWS API リクエスト。これは、Amazon EC2インスタンス内にアクセスキーを保存するよりも望ましいです。を割り当てるには AWS ロールを Amazon EC2インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルには ロールが含まれており、Amazon EC2インスタンスで実行されているプログラムが一時的な認証情報を取得できるようにします。詳細については、「 ユーザーガイド」の「 IAMロールを使用して Amazon EC2 インスタンスで実行されているアプリケーションにアクセス許可を付与する」を参照してください。 IAM

• IAM Identity Center ユーザーポータルへの IAM Identity Center ユーザー認証は、IAMIdentity Center に接続したディレクトリによって制御されます。ただし、 AWS ユーザーポータル内からエンドユーザーが利用できる アカウントは、次の 2 つの要因によって決まります。

  • これらのユーザーへのアクセス権が割り当てられているユーザー AWS の アカウント AWS IAM Identity Center コンソール。詳細については、「」の「 Single Sign-On Access」を参照してください。 AWS IAM Identity Center ユーザーガイド。

  • でエンドユーザーに付与されたアクセス許可のレベル AWS IAM Identity Center コンソールを使用して、それらへの適切なアクセスを許可する AWS アカウント。詳細については、「」の「アクセス許可セット」を参照してください。 AWS IAM Identity Center ユーザーガイド。

トピック

• AWS Control Tower リソースへのアクセス許可の管理の概要

• AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する