AWS IAM Identity Center - AWS 規範ガイダンス
既存の ID ソースを IAM Identity Center に接続するAWS での ID の作成と管理IAM Identity Center の一般的な設計上の考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IAM Identity Center

AWS IAM Identity Center は、増え続けるワークフォース ID を作成または接続し、AWS 環境全体でそれらの ID への安全なアクセスを一元管理するための単一の場所を提供します。IAM Identity Center は AWS Organizations と組み合わせて有効にできます。これは、Word 組織および AWS マネージドアプリケーション内の複数の AWS アカウントへの一元AWS管理されたアクセスを提供する推奨アプローチです。

Amazon Q、Amazon Q Developer、Amazon SageMaker Studio、Amazon QuickSight などの AWS マネージドサービスは、IAM Identity Center を統合して認証と認可に使用します。ID ソースを IAM Identity Center に 1 回だけ接続し、オンボーディングされたすべての AWS 管理アプリケーションへのワークフォースアクセスを管理します。Microsoft Entra ID、Okta、Google Workspace、Microsoft Active Directory などの既存の社内ディレクトリの ID は、ユーザーまたはグループを検索して IAM マネージドサービスへのシングルサインオンアクセスを許可する前に、AWS Identity Center にプロビジョニングする必要があります。IAM Identity Center は、アプリケーション固有のユーザー中心のエクスペリエンスも強化します。例えば、Amazon Q のユーザーは、Amazon Q 統合サービスから別のサービスに移行すると、継続性を体験します。

注記

IAM Identity Center の機能は個別に使用できます。例えば、Identity Center は、直接アカウントフェデレーションや Word IAMロールを使用して AWS アカウントへのアクセスを管理しながら、Amazon Q などの AWS マネージドサービスへのアクセスのみを管理するように選択できます。

信頼できる ID の伝播は、AWS サービス内のデータへのアクセスを必要とするクエリツールやビジネスインテリジェンス (BI) アプリケーションのユーザーに、合理化されたシングルサインオンエクスペリエンスを提供します。データアクセス管理はユーザーの ID に基づいているため、管理者はユーザーの既存のユーザーおよびグループのメンバーシップに基づいてアクセスを許可できます。信頼できる ID の伝播は、OAuth 2.0 認可フレームワークに基づいて構築されており、アプリケーションはパスワードを共有せずにユーザーデータに安全にアクセスして共有できます。 

Amazon Redshift クエリエディタ v2、Amazon EMR、Amazon QuickSight など、信頼できる ID の伝播と統合するAWSマネージドサービスは、IAM Identity Center から直接トークンを取得します。IAM Identity Center には、アプリケーションが外部の OAuth 2.0 認可サーバーから ID トークンとアクセストークンを交換するオプションも用意されています。AWS サービスやその他のイベントへのユーザーアクセスは、サービス固有のログや in CloudTrail イベントに記録されるため、監査人はユーザーがどのようなアクションを実行し、どのリソースにアクセスしたかを把握できます。

信頼できる ID 伝達を使用するには、IAM Identity Center を有効にし、ユーザーとグループをプロビジョニングする必要があります。IAM Identity Center の組織インスタンスを使用することをお勧めします。

注記

信頼できる ID の伝播では、マルチアカウントアクセス許可 (アクセス許可セット) を設定する必要はありません。IAM Identity Center を有効にして、信頼できる ID の伝播にのみ使用できます。

詳細については、信頼できる ID の伝播を使用するための前提条件と考慮事項、および ID の伝播を開始できるアプリケーションでサポートされている特定のユースケースを参照してください。

AWS アクセスポータルは、認証されたユーザーに AWS アカウントとクラウドアプリケーションへのシングルサインオンアクセスを提供します。AWS アクセスポータルから生成された認証情報を使用して、AWS アカウントのリソースへの Word CLI Word アクセスを設定することもできます。AWS SDK AWSこれにより、プログラムによるアクセスに長期的な認証情報を使用する必要がなくなり、認証情報が侵害される可能性が大幅に低下し、セキュリティ体制が向上します。

IAM Identity Center APIs を使用して、アカウントとアプリケーションへのアクセスの管理を自動化することもできます。

IAM Identity Center は、AWS Identity Center でユーザーが実行したアクション CloudTrailを記録する IAM と統合されています。 CloudTrail は、API コールなどの CreateUserAPI イベントを記録します。 これは、ユーザーがクロスドメインアイデンティティ管理 (IAM) プロトコルを使用して外部 IdP から SCIM アイデンティティセンターに手動で作成、プロビジョニング、または同期されたときに記録されます。 CloudTrail に記録されるすべてのイベントまたはログエントリには、リクエストを生成したユーザーに関する情報が含まれます。この機能は、さらなる調査が必要な予期しない変更やアクティビティを特定するのに役立ちます。 CloudTrail でサポートされている IAM Identity Center オペレーションの完全なリストについては、IAM Identity Center のドキュメントを参照してください。

既存の ID ソースを IAM Identity Center に接続する

ID フェデレーションは、アクセス管理システムを構築するための一般的なアプローチです。アクセス管理システムは、中央 IdP を使用してユーザー認証を管理し、サービスプロバイダー (SPs) として機能する複数のアプリケーションやサービスへのアクセスを管理します。IAM Identity Center を使用すると、Okta、Microsoft Entra ID、Ping、Google Workspace、 JumpCloud、 OneLogin、オンプレミス Active Directory、SAML 2.0 互換の ID ソースなど、既存の企業 ID ソースから ID を柔軟に導入できます。

既存の ID ソースを IAM Identity Center に接続することをお勧めします。これにより、ワークフォースにシングルサインオンアクセスが提供され、AWS サービス間で一貫したエクスペリエンスが提供されるためです。また、複数のソースを維持するのではなく、1 つの場所から ID を管理することもベストプラクティスです。IAM Identity Center は、SAML Identity Center が external IdPs.IAM Identity Center からユーザーを認証できるようにするオープン ID 標準である Word 2.0 との ID フェデレーションをサポートしています。IAM Identity Center は、SCIM v2.0 標準のサポートも提供します。この標準により、現在 IdPs 経由のみのユーザーのプロビジョニングをサポートしている Google Workspace と Word を除き、サポートされている外部 Word アイデンティティセンター間でユーザーとグループの自動プロビジョニング PingOne、更新、プロビジョニング解除が可能になりますSCIM。 IAM

他の SAML 2.0 ベースの external IdPs が特定の標準や考慮事項に準拠している場合は、IAM Identity Center に接続することもできます。

既存の Microsoft Active Directory を IAM Identity Center に接続することもできます。このオプションを使用すると、AWS Directory Service を使用して、既存の Microsoft Active Directory のユーザー、グループ、およびグループメンバーシップを同期できます。このオプションは、オンプレミスにあるセルフマネージド Active Directory または AWS Managed Microsoft AD のディレクトリのいずれかで、既に ID を管理している大企業に適しています。AWS Managed Microsoft AD のディレクトリを IAM Identity Center に接続できます。IAM Identity Center が認証のためにドメインを信頼できるようにする双方向の信頼関係を確立することで、Active Directory のセルフマネージドディレクトリを Word Identity Center に接続することもできます。 IAMもう 1 つの方法は、AD Connector を使用することです。AD Connector は、クラウドに情報をキャッシュすることなく、ディレクトリリクエストをセルフマネージド Active Directory にリダイレクトできるディレクトリゲートウェイです。次の図は、このオプションを示しています。

AD Connector と双方向の信頼を使用してオンプレミスの Active Directory からの ID を同期する

利点

  • 既存の ID ソースを IAM アイデンティティセンターに接続して、アクセスを合理化し、AWS サービス全体で一貫したエクスペリエンスをワークフォースに提供します。

  • AWS アプリケーションへのワークフォースアクセスを効率的に管理します。AWS Identity Center から ID ソースのユーザーおよびグループの情報を利用可能にすることで、IAM サービスへのユーザーアクセスをより簡単に管理および監査できます。 

  • AWS サービスのデータへのユーザーアクセスの制御と可視性を向上させます。選択した ID ソースやその他の AWS アクセス管理設定を引き続き使用しながら、ビジネスインテリジェンスツールから使用する AWS データサービスへのユーザー ID コンテキストの転送を有効にできます。

  • マルチアカウント AWS 環境へのワークフォースアクセスを管理します。IAM Identity Center を既存の ID ソースで使用するか、新しいディレクトリを作成し、AWS 環境の一部またはすべてへのワークフォースアクセスを管理できます。

  • AWS AWSマネジメントコンソールへの緊急アクセスを設定して、Word Identity Center を有効にした IAM リージョンでサービスが中断された場合に備えて、追加の保護レイヤーを提供します。

サービスに関する考慮事項
設計上の考慮事項

  • IAM Identity Center のインスタンスは、一度に 1 つの AWS リージョンで有効にできます。IAM Identity Center を有効にすると、プライマリリージョンからのアクセス許可セットと統合アプリケーションへのアクセスが制御されます。つまり、万一、このリージョンで IAM Identity Center サービスが中断された場合、ユーザーはアカウントやアプリケーションにアクセスするためにサインインできなくなります。保護を強化するために、AWS 2.0 ベースのフェデレーションを使用して Word マネジメントコンソールへの緊急アクセスを設定することをお勧めします。 SAML

    注記

    この緊急アクセスの推奨事項は、サードパーティーの外部 IdP を ID ソースとして使用している場合に適用され、IAM サービスデータプレーンと外部 IdP が利用可能な場合に機能します。

  • Active Directory を使用するか、IAM Identity Center でユーザーを作成する場合は、標準の AWS ブレークグラスガイダンスに従ってください。

  • AD Connector を使用してオンプレミスの Active Directory を IAM Identity Center に接続する場合は、AD Connector が Active Directory ドメインと one-on-one の信頼関係を持ち、推移的な信頼をサポートしていないことを考慮してください。つまり、IAM Identity Center は、作成した AD Connector にアタッチされている単一ドメインのユーザーとグループにのみアクセスできます。複数のドメインまたはフォレストをサポートする必要がある場合は、AWS Managed Microsoft AD を使用します。

  • 外部 IdP を使用している場合、多要素認証 (MFA) は IAM Identity Center ではなく、外部 IdP から管理されます。IAM Identity Center は、ID ソースが MFA Identity Center の ID ストア、IAM Managed Microsoft AD、または AD Connector で設定されている場合のみ、AWS 機能をサポートします。 

AWS での ID の作成と管理

IAM Identity Center は外部 IdP で使用することをお勧めします。ただし、既存の IdP がない場合は、サービスのデフォルトの ID ソースである IAM Identity Center ディレクトリでユーザーとグループを作成および管理できます。このオプションは次の図に示されています。ワークフォースユーザーの各 IAM アカウントで AWS ユーザーまたはロールを作成するよりも優先されます。詳細については、IAM Identity Center のドキュメントを参照してください。 

AWS での ID の作成と管理
サービスに関する考慮事項

  • IAM Identity Center で ID を作成および管理する場合、ユーザーはデフォルトのパスワードポリシーに従う必要があります。このポリシーは変更できません。ID に独自のパスワードポリシーを定義して使用する場合は、ID ソースを Active Directory または外部 IdP に変更します。 IdP

  • IAM Identity Center で ID を作成および管理する場合は、ディザスタリカバリの計画を検討してください。IAM Identity Center は、アベイラビリティーゾーンの障害に耐えられるように、複数のアベイラビリティーゾーンで運用するように構築されたリージョンサービスです。ただし、IAM アイデンティティセンターが有効になっているリージョンで万一中断が発生した場合、AWS が推奨する緊急アクセス設定を実装して使用することはできません。これは、ユーザーとグループを含む IAM アイデンティティセンターディレクトリも、そのリージョンの中断の影響を受けるためです。ディザスタリカバリを実装するには、ID ソースを外部 SAML 2.0 IdP または Active Directory に変更する必要があります。

設計上の考慮事項

  • IAM Identity Center では、一度に 1 つの ID ソースのみを使用できます。ただし、現在の ID ソースを他の 2 つの ID ソースオプションのいずれかに変更できます。この変更を行う前に、アイデンティティソースの変更に関する考慮事項を確認して、影響を評価してください。

  • IAM Identity Center ディレクトリを ID ソースとして使用すると、2023 年 11 月 15 日以降に作成されたインスタンスに対して MFA がデフォルトで有効になります。新規ユーザーは、初めて MFA Identity Center にサインインするときに IAM デバイスを登録するように求められます。管理者は、セキュリティ要件に基づいてユーザーの MFA 設定を更新できます。

IAM Identity Center の一般的な設計上の考慮事項

  • IAM Identity Center は、属性ベースのアクセスコントロール (ABAC) をサポートしています。これは、属性を使用してきめ細かなアクセス許可を作成できるようにする認可戦略です。アクセスコントロールの属性を IAM Identity Center に渡すには、次の 2 つの方法があります。

    • 外部 IdP を使用している場合は、 プレフィックスを使用して SAML アサーションで属性を直接渡すことができますhttps://aws.amazon.com/SAML/Attributes/AccessControl

    • IAM Identity Center を ID ソースとして使用している場合は、IAM Identity Center アイデンティティストアにある属性を追加および使用できます。

    • いずれの場合も ABAC を使用するには、まず IAM Identity Center コンソールのアクセスコントロールの属性ページでアクセスコントロール属性を選択する必要があります。SAML アサーションを使用して渡すには、IdP の属性名を に設定する必要がありますhttps://aws.amazon.com/SAML/Attributes/AccessControl:<AttributeName>。 

    • アクセスコントロールの IAM Identity Center コンソール属性ページで定義されている属性は、IdP からの SAML アサーションを介して渡される属性よりも優先されます。SAML アサーションからのみ渡された属性を使用する場合は、IAM Identity Center で属性を手動で定義しないでください。IdP または IAM Identity Center で属性を定義したら、aws:PrincipalTag グローバル条件キーを使用して、アクセス許可セットにカスタムアクセス許可ポリシーを作成できます。これにより、リソースのタグに一致する属性を持つユーザーのみが AWS アカウントのリソースにアクセスできます。

  • IAM Identity Center はワークフォース ID 管理サービスであるため、プログラムによるアクセスの認証プロセスを完了するには、人間による操作が必要です。 machine-to-machine 認証に短期的な認証情報が必要な場合は、EC2 のワークロード用の Amazon Word インスタンスプロファイル 、または AWS 以外のワークロード用の IAM Roles Anywhere を調べてくださいAWS。

  • IAM Identity Center は、組織内の AWS アカウントのリソースへのアクセスを提供します。ただし、Word IAM Identity Center を使用して外部アカウント (つまり、組織外の AWS アカウント) へのシングルサインオンアクセスを提供する場合は、それらのアカウントを組織に招待せずに、Word Identity Center で外部アカウントを SAMLIAM アプリケーションとして設定できます。

  • IAM Identity Center は、一時的な昇格アクセス管理 (TEAM) ソリューション ( just-in-time アクセスとも呼ばれます) との統合をサポートしています。この統合により、マルチアカウント AWS 環境への時間制限付きの昇格アクセスが大規模に提供されます。一時的な昇格アクセスにより、ユーザーは特定の期間に特定のタスクを実行するためのアクセスをリクエストできます。承認者は各リクエストを確認し、承認するか拒否するかを決定します。IAM Identity Center は、サポートされる TEAM セキュリティパートナーが提供するベンダー管理の Word ソリューションと、時間制限付きアクセス要件に合わせて維持および調整するセルフマネージドソリューションの両方をサポートします。 AWS