AWS IAM Identity Center と AWS Control Tower の使用 - AWS Control Tower
IAM Identity Center アカウントと AWS Control Tower に関する注意事項

AWS IAM Identity Center と AWS Control Tower の使用

AWS Control Tower で IAM Identity Center を使用すると、中央のクラウド管理者とエンドユーザーが複数の AWS アカウントとビジネスアプリケーションへのアクセスを管理できます。デフォルトでは、ID とアクセス制御を自己管理するオプションを選択していない限り、AWS Control Tower はこのサービスを使用して、Account Factory を通じて作成されたアカウントへのアクセスを設定および管理します。

ID プロバイダーの選択については、「IAM Identity Center のガイダンス」を参照してください。

AWS Control Tower での IAM Identity Center ユーザーおよび許可のセットアップ方法に関する簡単なチュートリアルについては、こちらの動画 (所要時間: 6 分 23 秒) をご覧ください。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

IAM Identity Center での AWS Control Tower のセットアップについて

AWS Control Tower の初期セットアップの時点では、ルートユーザーと適切な許可を持つ IAM ユーザーのみ、IAM Identity Center ユーザーを追加できます。ただし、エンドユーザーが [AWSAccountFactory] グループに追加されると、Account Factory ウィザードから新しい IAM Identity Center ユーザーを作成できるようになります。詳細については、「Account Factory でのアカウントのプロビジョニングと管理」を参照してください。

推奨されるデフォルトを選択した場合、AWS Control Tower は、ランディングゾーンを事前設定済みディレクトリでセットアップするため、ユーザーがアカウント間でフェデレーティッドアクセスを持つように、ユーザーアイデンティティとシングルサインオンを管理できます。ランディングゾーンのセットアップ時に、このデフォルトディレクトリはユーザーグループと許可セットを含むように作成されます。

注記

IAM アイデンティティセンターの委任管理者機能を使用すると、組織の AWS IAM Identity Center の管理を、管理アカウント以外のアカウントに委任できます。この機能を使用する場合、メンバーシップを管理するアクセス権を持つ管理者は、管理アカウントに割り当てられたグループも管理できることに注意してください。詳細については、ブログ記事「Getting started with AWS SSO delegated administration」(AWS SSO 委任管理の開始方法) を参照してください。

IAM Identity Center アカウントと AWS Control Tower に関する注意事項

ここでは、AWS Control Tower で IAM Identity Center ユーザーアカウントを使用する際の注意事項をいくつか紹介します。

  • AWS IAM Identity Center ユーザーアカウントが無効になっている場合、Account Factory で新しいアカウントをプロビジョニングしようとすると、エラーメッセージが表示されます。IAM Identity Center コンソールで IAM Identity Center ユーザーを再度有効にすることができます。

  • Account Factory によって発行されたアカウントに関連付けられたプロビジョニング済み製品を更新するときに、新しい IAM Identity Center ユーザーの E メールアドレスを指定すると、AWS Control Tower によって新しい IAM Identity Center ユーザーアカウントが作成されます。以前に作成したユーザーアカウントは削除されません。AWS IAM Identity Center から以前の IAM Identity Center ユーザーの E メールアドレスを削除する場合は、Disabling a User (ユーザーを無効にする) を参照してください。

  • AWS IAM Identity Center は Azure Active Directory と統合されており、既存の Azure Active Directory を AWS Control Tower に接続できます。

  • AWS Control Tower が IAM Identity Center やさまざまなアイデンティティソースとやり取りする動作の詳細については、AWS IAM Identity Center ドキュメントのアイデンティティソースの変更に関する考慮事項を参照してください。