翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM Identity Center 認証情報プロバイダー
**注記**
設定ページのレイアウトの理解、または以下の ** AWS SDKs**「」を参照してください[このガイドの設定ページについて](settings-reference.md#settingsPages)。
この認証メカニズムは、 AWS IAM アイデンティティセンター を使用して、コード AWS のサービス の へのシングルサインオン (SSO) アクセスを取得します。
**注記**
AWS SDK API ドキュメントでは、IAM Identity Center 認証情報プロバイダーは SSO 認証情報プロバイダーと呼ばれます。
IAM Identity Center を有効にしたら、共有 AWS `config`ファイルで設定のプロファイルを定義します。このプロファイルは IAM Identity Center アクセスポータルへの接続に使用されます。ユーザーが IAM Identity Center で正常に認証されると、ポータルはそのユーザーに関連付けられた IAM ロールの短期認証情報を返します。SDK が設定から一時的な認証情報を取得し、 AWS のサービス リクエストに使用する方法については、「」を参照してください[AWS SDKsとツールの IAM Identity Center 認証の解決方法](understanding-sso.md)。
`config` ファイルを使用して IAM Identity Center を設定するには 2 つの方法があります。
+ **(推奨) SSO トークンプロバイダー設定** – セッション期間が延長されます。カスタムセッション期間のサポートが含まれています。
+ **更新不可のレガシー構成** — 固定の 8 時間のセッションを使用します。
どちらの構成でも、セッションの有効期限が切れたら再度サインインする必要があります。
次の 2 つのガイドには、IAM Identity Center に関する追加情報が含まれています。
+ [AWS IAM アイデンティティセンター ユーザーガイド](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS IAM アイデンティティセンター ポータル API リファレンス](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/Welcome.html)
SDK とツールがこの構成を使用して認証情報を使用および更新する方法の詳細については、「[AWS SDKsとツールの IAM Identity Center 認証の解決方法](understanding-sso.md)」を参照してください。
## 前提条件
最初に IAM Identity Center を有効にしておく必要があります。IAM アイデンティティセンターの認証を有効にする方法の詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[Enabling AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
**注記**
または、完全な前提条件**と**、このページで説明されている必要な共有 `config` ファイル設定について、「[IAM Identity Center を使用して AWS SDK とツールを認証する](access-sso.md)」のセットアップガイドを参照してください。
## SSO トークンプロバイダー設定
SSO トークンプロバイダー設定を使用すると、 AWS SDK またはツールは延長されたセッション期間までセッションを自動的に更新します。セッション期間と最大期間の詳細については、「 *AWS IAM アイデンティティセンター ユーザーガイド*[」の AWS 「アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-user-session.html)」を参照してください。
`config` ファイルの `sso-session`セクションは、SSO アクセストークンを取得するための設定変数をグループ化するために使用され、認証情報を取得するために使用できます AWS 。`config` ファイル内のこのセクションの詳細については、「[設定ファイルの形式](file-format.md#file-format-config)」を参照してください。
次の共有 `config` ファイルの例では、`dev` プロファイルを使用して SDK またはツールを設定し、IAM Identity Center の認証情報をリクエストします。
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_registration_scopes = {{sso:account:access}}
```
前の例は `sso-session` セクションの定義とプロファイルへの関連付けを示しています。通常、 SDK が AWS 認証情報をリクエストできるように、 `profile` セクションで `sso_account_id`と を設定`sso_role_name`する必要があります。`sso_region`、`sso_start_url`、 は `sso-session`セクション内で設定`sso_registration_scopes`する必要があります。
`sso_account_id` と `sso_role_name` は SSO トークン設定のすべてのシナリオで必須というわけではありません。アプリケーション AWS のサービス がベアラー認証をサポートする のみを使用する場合、従来の AWS 認証情報は必要ありません。ベアラー認証は、ベアラートークンと呼ばれるセキュリティトークンを使用する HTTP 認証スキームです。このシナリオでは、`sso_account_id` と `sso_role_name` は必須ではありません。サービスがベアラートークン認可をサポートしているかどうかを確認するには、個々の AWS のサービス ガイドを参照してください。
登録スコープは `sso-session` の一部として設定されます。スコープは、ユーザーのアカウントに対するアプリケーションのアクセスを制限する OAuth 2.0 のメカニズムです。前の例では、アカウントとロールを一覧表示するために必要なアクセスを許可するように `sso_registration_scopes` を設定しています。
次の例は、複数のプロファイルで同じ `sso-session` 設定を再利用する方法を示しています。
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[profile prod]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole2}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_registration_scopes = {{sso:account:access}}
```
認証トークンは、セッション名に基づいたファイル名を使用して、`~/.aws/sso/cache` ディレクトリの下のディスクにキャッシュされます。
## 更新不可のレガシー設定
トークンの自動更新は、更新不可のレガシー設定ではサポートされていません。代わりに、[SSO トークンプロバイダー設定](#sso-token-config) の使用をお勧めします。
更新不可のレガシー設定を使用するには、プロファイル内で次の設定を指定する必要があります。
+ `sso_start_url`
+ `sso_region`
+ `sso_account_id`
+ `sso_role_name`
プロファイルのユーザーポータルは、 `sso_start_url` および `sso_region` 設定を使用して指定します。アクセス許可は `sso_account_id` および `sso_role_name` 設定で指定します。
次の例では、 `config` ファイルに 4 つの必要となる値を設定します。
```
[profile {{my-sso-profile}}]
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_region = {{us-west-2}}
sso_account_id = {{111122223333}}
sso_role_name = {{SSOReadOnlyRole}}
```
認証トークンは、`sso_start_url` に基づいたファイル名を使用して、`~/.aws/sso/cache` ディレクトリの下のディスクにキャッシュされます。
## IAM Identity Center 認証情報プロバイダーの設定
この機能は以下を使用して設定します。
**`sso_start_url` - 共有 AWS `config`ファイル設定**
組織の IAM Identity Center の発行者 URL またはアクセスポータル URL を指す URL。詳しくは、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[Setting up and using the AWS access portal](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html)」を参照してください。
この値を確認するには、[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開き、**[ダッシュボード]** を表示して、**[AWS アクセスポータル URL]** を検索します。
+ または、 のバージョン **2.22.0** 以降では AWS CLI、代わりに**AWS 発行者 URL** の値を使用できます。
**`sso_region` - 共有 AWS `config`ファイル設定**
IAM Identity Center ポータルホスト AWS リージョン を含む 、つまり IAM Identity Center を有効にする前に選択したリージョン。これはデフォルトの AWS リージョンとは独立しており、異なる場合があります。
AWS リージョン とそのコードの完全なリストについては、『』の[「リージョンエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints)」を参照してください*Amazon Web Services 全般のリファレンス*。この値を確認するには、[IAM Identity Centerコンソール](https://console.aws.amazon.com/singlesignon)を開いて**[ダッシュボード]**を表示し、**[リージョン]**を探します。
**`sso_account_id` - 共有 AWS `config`ファイル設定**
認証に使用する AWS Organizations サービスを通じて AWS アカウント 追加された の数値 ID。
使用可能なアカウントのリストを確認するには、[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)に移動して[**AWS アカウント**] ページを開きます。*AWS IAM アイデンティティセンター ポータル API リファレンス*の 「[ListAccounts](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccounts.html)」 API メソッドを使用して利用可能なアカウントのリストを確認することもできます。たとえば、 AWS CLI メソッド [list-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-accounts.html) を呼び出すことができます。
**`sso_role_name` - 共有 AWS `config`ファイル設定**
ユーザーのアクセス許可を定義するIAM ロールとしてプロビジョニングされたアクセス許可セットの名前。ロールは、 で AWS アカウント 指定された に存在する必要があります`sso_account_id`。ロールの Amazon リソースネーム (ARN) ではなく、ロール名を使用してください。
アクセス許可セットには IAM ポリシーとカスタムアクセス許可ポリシーがアタッチされており、ユーザーに割り当てられた AWS アカウントに付与されるアクセスレベルを定義します。
ごとに使用可能なアクセス許可セットのリストを表示するには AWS アカウント、[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)に移動し、**AWS アカウント**ページを開きます。 AWS アカウント テーブルにリストされている正しいアクセス許可セット名を選択します。*AWS IAM アイデンティティセンター ポータル API リファレンス*の 「[ListAccountRoles](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccountRoles.html)」 API メソッドを使用して、使用可能なアクセス許可セットのリストを確認することもできます。たとえば、 AWS CLI メソッド [list-account-roles](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-account-roles.html) を呼び出すことができます。
**`sso_registration_scopes` - 共有 AWS `config`ファイル設定**
`sso-session` に許可するスコープのカンマ区切りのリストです。アプリケーションは 1 つ以上のスコープをリクエストでき、アプリケーションに発行されたアクセストークンは付与されたスコープに限定されます。IAM Identity Center サービスから更新トークンを取得するには、`sso:account:access` の最低限のスコープを付与する必要があります。利用可能なアクセススコープのオプションのリストについては、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[Access scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept)」を参照してください。
これらのスコープは、登録された OIDC クライアントがリクエストできるアクセス許可と、クライアントが取得するアクセストークンを定義します。スコープは、IAM Identity Center ベアラートークンで承認されたエンドポイントへのアクセスを許可します。
この設定は、更新できない従来の設定には適用されません。レガシー構成を使用して発行されたトークンは、暗黙的に`sso:account:access` スコープに制限されます。
## AWS SDKsとツールによるサポート
以下の SDK は、このトピックで説明する機能と設定をサポートします。部分的な例外があれば、すべて記載されています。JVM システムプロパティ設定は、 AWS SDK for Java と AWS SDK for Kotlin でのみサポートされます。
| SDK | サポート | 注意または詳細情報 |
| --- | --- | --- |
| [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/) v2 | はい | |
| [SDK for C\+\+](https://docs.aws.amazon.com/sdk-for-cpp/latest/developer-guide/) | はい | |
| [SDK for Go V2 (1.x)](https://docs.aws.amazon.com/sdk-for-go/v2/developer-guide/) | はい | |
| [SDK for Go 1.x (V1)](https://docs.aws.amazon.com/sdk-for-go/latest/developer-guide/) | はい | 共有 config ファイル設定を使用するには、設定ファイルからの読み込みを有効にする必要があります。「[セッション](https://docs.aws.amazon.com/sdk-for-go/api/aws/session/)」を参照してください。 |
| [SDK for Java 2.x](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/) | はい | 設定値はcredentialsファイルでもサポートされています。 |
| [SDK for Java 1.x](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/) | いいえ | |
| [SDK for JavaScript 3.x](https://docs.aws.amazon.com/sdk-for-javascript/latest/developer-guide/) | はい | |
| [SDK for JavaScript 2.x](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/) | はい | |
| [SDK for Kotlin](https://docs.aws.amazon.com/sdk-for-kotlin/latest/developer-guide/) | はい | |
| [SDK for .NET 4.x](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/) | はい | |
| [SDK for .NET 3.x](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/) | はい | |
| [SDK for PHP 3.x](https://docs.aws.amazon.com/sdk-for-php/latest/developer-guide/) | はい | |
| [SDK for Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html) | はい | |
| [SDK for Ruby 3.x](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/) | はい | |
| [SDK for Rust](https://docs.aws.amazon.com/sdk-for-rust/latest/dg/) | 部分的 | 更新不可のレガシー設定のみ。 |
| [SDK for Swift](https://docs.aws.amazon.com/sdk-for-swift/latest/developer-guide/) | はい | |
| [PowerShell V5 のツール](https://docs.aws.amazon.com/powershell/latest/userguide/) | はい | |
| [PowerShell V4 のツール](https://docs.aws.amazon.com/powershell/v4/userguide/) | はい | |