AWS マネージドアプリケーション - AWS IAM Identity Center
アプリケーションへのアクセスの制御ID 情報の共有 AWS マネージドアプリケーションの使用の制限

AWS マネージドアプリケーション

AWS IAM Identity Center は、ワークフォースユーザーを Amazon Q Developer や Amazon QuickSight などの AWS マネージドアプリケーションに接続するタスクを合理化および簡素化します。IAM Identity Center を使用することで、既存の ID プロバイダーをいったん接続してディレクトリ内のユーザーやグループと同期したり、あるいは IAM Identity Center でユーザーを直接作成および管理したりできます。単一のフェデレーションポイントを提供することで、IAM Identity Center は、各アプリケーション向けにフェデレーションまたはユーザーとグループの同期を設定する操作を不要にし、管理作業を軽減します。ユーザーとグループの割り当てに関する共通ビューも得られます。

IAM Identity Center と連携する AWS アプリケーションの表については、「IAM Identity Center で使用できる AWS マネージドアプリケーション」を参照してください。

AWS マネージドアプリケーションへのアクセスの制御

AWS マネージドアプリケーションへのアクセスは次の 2 つの方法で制御されます。

  • アプリケーションへの初回入力

    IAM Identity Center は、アプリケーションへの割り当てを通じてこれを管理します。デフォルトでは、AWS マネージドアプリケーションには割り当てが必要です。アプリケーション管理者である場合、アプリケーションへの割り当てを必須にするかどうかを選択できます。

    割り当てが必要な場合、ユーザーが AWS アクセスポータルにサインインすると、アプリケーションへの直接割当て、またはグループ割り当てによって割り当てられたユーザーのみがアプリケーションタイルを閲覧できます。

    割り当てが不要な場合は、すべての IAM Identity Center ユーザーがアプリケーションにアクセスすることを許可できます。この場合、アプリケーション側はリソースへのアクセスを管理し、アプリケーションタイルは AWS アクセスポータルにアクセスするすべてのユーザーに対して表示されます。

    重要

    IAM アイデンティティセンター管理者である場合は、IAM アイデンティティセンターコンソールを使用して AWS マネージドアプリケーションへの割り当てを削除できます。割り当てを削除する前に、アプリケーション管理者と調整することをお勧めします。また、割り当てが必要かどうかを決定する設定を変更したり、アプリケーションの割り当てを自動化したりする予定がある場合は、アプリケーション管理者と調整する必要があります。

  • アプリケーションリソースへのアクセス

    アプリケーションは、アプリケーション側で制御する独立したリソース割り当てを通じてアプリケーションリソースへのアクセスを管理します。

AWS マネージドアプリケーションには、アプリケーションリソースへのアクセス管理用の管理者ユーザーインターフェイスが用意されています。例えば、QuickSight 管理者は、グループメンバーシップに基づいてダッシュボードにアクセスするユーザーを割り当てることができます。ほとんどの AWS マネージドアプリケーションには、アプリケーションにユーザーを割り当てることができる AWS Management Console 環境も用意されています。これらのアプリケーションのコンソール環境には、ユーザー割り当て機能とアプリケーションリソースへのアクセスを管理する機能を組み合わせるために、両方の機能が統合されている場合があります。

ID 情報の共有

AWS アカウント での ID 情報の共有に関する注意事項

IAM アイデンティティセンターは、アプリケーション全体で最もよく使用される属性をサポートします。これらの属性には、姓名、電話番号、E メールアドレス、住所、優先する言語が含まれます。この個人を特定できる情報を使用できるアプリケーションとアカウントを慎重に検討してください。

この情報へのアクセスは、次のいずれかの方法で制御できます。

  • AWS Organizations の管理アカウントのみでアクセスを有効にするか、AWS Organizations の全アカウントでアクセスを有効にするかを選択できます。

  • または、サービスコントロールポリシー (SCP) を使って、どのアプリケーションが AWS Organizations のどのアカウントの情報にアクセスできるかを制御することができます。

例えば、AWS Organizations 管理アカウントでのみアクセスを可能にした場合、メンバーアカウントのアプリケーションは情報にアクセスできません。すべてのアカウントでアクセスを有効にすると、SCP を使用して許可するアプリケーションを除く、すべてのアプリケーションによるアクセスを禁止できます。

サービスコントロールポリシーは、AWS Organizations の機能です。SCP をアタッチする手順については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

ID 情報を共有するための IAM アイデンティティセンターの設定

IAM アイデンティティセンターは、サインイン認証情報を除く、ユーザーおよびグループの属性を含む ID ストアを提供します。以下のいずれかの方法で、IAM Identity Center ID ストアのユーザーとグループを更新することができます。

  • IAM Identity Center ID ストアをメインの ID ソースとして使用します。この方法を選択した場合、IAM アイデンティティセンターコンソールまたは AWS Command Line Interface (AWS CLI) 内からユーザー、サインイン認証情報およびグループを管理します。詳細については、「IAM Identity Center で ID を管理する」を参照してください。

  • 以下のいずれかの ID ソースから IAM Identity Center の ID ストアにユーザーとグループのプロビジョニング (同期) を設定します。

    このプロビジョニング方法を選択した場合、ユーザーとグループの管理は ID ソース内で継続され、それらの変更は IAM アイデンティティセンターの ID ストアに同期されます。

どの ID ソースを選択しても、IAM アイデンティティセンターはユーザーやグループの情報を AWS マネージドアプリケーションと共有することができます。そのように、ID ソースを一度 IAM アイデンティティセンターに接続するだけで、AWS クラウド 内の複数のアプリケーションで ID 情報を共有することが可能になります。これにより、アプリケーションごとにフェデレーションや ID のプロビジョニングを個別に設定する必要がなくなります。また、この共有機能により、ユーザーに別の AWS アカウント で、多数のアプリケーションへのアクセスを簡単に与えることができます。

AWS マネージドアプリケーションの使用の制限

IAM アイデンティティセンターを初めて有効にすると、AWS は AWS マネージドアプリケーションを AWS Organizations のすべてのアカウントで自動的に使用できるようにします。アプリケーションを制約するには、サービスコントロールポリシー (SCP) を実装する必要があります。SCP は、組織内の ID (ユーザーとロール) が持つことができる最大の権限を一元的に管理するための AWS Organizations の機能です。SCP を使用して、IAM アイデンティティセンターのユーザーおよびグループ情報へのアクセスをブロックし、指定したアカウント以外ではアプリケーションを起動できないようにすることができます。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」を参照してください。