翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM アイデンティティセンターのアカウントインスタンス
IAM Identity Center のアカウントインスタンスを使用すると、サポートされている AWS マネージドアプリケーションと OIDC ベースのカスタマーマネージドアプリケーションをデプロイできます。アカウントインスタンスは、IAM Identity Center のワークフォースアイデンティティとアクセスポータル機能を活用して AWS アカウント、単一の でのアプリケーションの独立したデプロイをサポートします。
アカウントインスタンスは 1 つの にバインド AWS アカウント され、同じアカウントと でサポートされているアプリケーションのユーザーおよびグループのアクセスを管理するためにのみ使用されます AWS リージョン。ごとに 1 つのアカウントインスタンスに制限されています AWS アカウント。以下のいずれかからアカウントインスタンスを作成できます。
-
のメンバーアカウント AWS Organizations。
によって管理 AWS アカウント されていないスタンドアロン AWS Organizations。
メンバーアカウントの可用性制約
IAM Identity Center の組織インスタンスが AWS 組織内に既に存在するかどうかにかかわらず、IAM Identity Center のアカウントインスタンスを AWS Organizations メンバーアカウントにデプロイできます。
次のいずれかの条件が満たされている必要があります。
組織内に IAM Identity Center の AWS 組織インスタンスはありません。
組織に IAM Identity Center の組織インスタンスがあり、 AWS インスタンス管理者がメンバーアカウントを有効にして IAM Identity Center のアカウントインスタンスを作成しています (2023 年 11 月 15 日以降に作成された組織インスタンスの場合)。
-
組織内に IAM Identity Center の AWS 組織インスタンスがあり、インスタンス管理者が組織内のメンバーアカウントによるアカウントインスタンスの作成を手動で有効にしました (2023 年 11 月 15 日より前に作成された組織インスタンスの場合)。手順については、「IAM Identity Center コンソールでアカウントインスタンスを有効にする」を参照してください。
上記の条件のいずれかが満たされたら、次の条件がすべて満たされている必要があります。
管理者は、メンバーアカウントがアカウントインスタンスを作成できないようにするサービスコントロールポリシーを作成していません。
に関係なく、この同じアカウントに IAM Identity Center のインスタンスがまだありません AWS リージョン。
IAM Identity Center AWS リージョン が利用可能な で作業している。リージョンの詳細については、「AWS IAM Identity Center リージョンの可用性」を参照してください。
アカウントインスタンスを使用するタイミング
ほとんどの場合には、組織インスタンスをお勧めします。アカウントインスタンスは、以下のシナリオのいずれかに当てはまる場合にのみ使用してください。
サポートされている AWS マネージドアプリケーションの一時的なトライアルを実行して、アプリケーションがビジネスニーズに適しているかどうかを判断したい。
組織全体に IAM Identity Center を導入する予定はありませんが、1 つ以上の AWS マネージドアプリケーションをサポートしたいと考えています。
IAM Identity Center の組織インスタンスがあるが、サポートされている AWS マネージドアプリケーションを、組織インスタンスのユーザーとは異なる分離されたユーザーのセットにデプロイしたい。
重要
IAM アイデンティティセンターを使用して複数のアカウントのアプリケーションをサポートする予定がある場合は、組織インスタンスを作成し、アカウントインスタンスは使用しないでください。
アカウントインスタンスに関する考慮事項
アカウントインスタンスは特殊なユースケース向けに設計されており、組織インスタンスで使用できる機能のサブセットを提供します。アカウントインスタンスを作成する前に、以下を考慮してください。
アカウントインスタンスはアクセス許可セットをサポートしていないため、 へのアクセスをサポートしていません AWS アカウント。
アカウントインスタンスを組織インスタンスに変換することはできません。
アカウントインスタンスを組織インスタンスにマージすることはできません。
AWS マネージドアプリケーション サポートアカウントインスタンスのみを選択します。
アカウントインスタンスは、1 つのアカウントでのみアプリケーションを使用する孤立したユーザーで、使用するアプリケーションの存続期間中だけ使用してください。
アカウントインスタンスにアタッチされたアプリケーションは、アプリケーションとそのリソースを削除するまでアカウントインスタンスにアタッチされたままにしておく必要があります。
アカウントインスタンスは、作成された に残 AWS アカウント っている必要があります。
AWS アカウントインスタンスをサポートする マネージドアプリケーション
IAM Identity Center のアカウントインスタンスをサポートする AWS マネージドアプリケーションAWS マネージドアプリケーションについては、「」を参照してください。 AWS マネージドアプリケーションでアカウントインスタンス作成の可用性を検証します。