翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS マネージドアプリケーション
<a name="awsapps"></a>

AWS IAM アイデンティティセンター は、ワークフォースユーザーを Kiro や Amazon Quick などの AWS マネージドアプリケーションに接続するタスクを合理化および簡素化します。IAM アイデンティティセンターを使用することで、既存の ID プロバイダーをいったん接続してディレクトリ内のユーザーやグループと同期したり、あるいは IAM アイデンティティセンターでユーザーを直接作成および管理したりできます。単一のフェデレーションポイントを提供することで、IAM アイデンティティセンターは、各アプリケーション向けにフェデレーションまたはユーザーとグループの同期を設定する操作を不要にし、管理作業を軽減します。[ユーザーとグループの割り当てに関する共通ビュー](howtoviewandchangepermissionset.md)も得られます。

IAM Identity Center と連携する AWS アプリケーションの表については、「」を参照してください[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)。

## AWS マネージドアプリケーションへのアクセスの制御
<a name="awsapps-controlling-access"></a>

 AWS マネージドアプリケーションへのアクセスは、次の 2 つの方法で制御されます。
+ **アプリケーションへの初回入力** 

  IAM アイデンティティセンターは、アプリケーションへの割り当てを通じてこれを管理します。デフォルトでは、 AWS マネージドアプリケーションには割り当てが必要です。アプリケーション管理者である場合、アプリケーションへの割り当てを必須にするかどうかを選択できます。

  割り当てが必要な場合、ユーザーが AWS アクセスポータルにサインインすると、アプリケーションへの直接割当て、またはグループ割り当てによって割り当てられたユーザーのみがアプリケーションタイルを閲覧できます。

  割り当てが不要な場合は、すべての IAM アイデンティティセンターユーザーがアプリケーションにアクセスすることを許可できます。この場合、アプリケーション側はリソースへのアクセスを管理し、アプリケーションタイルは AWS アクセスポータルにアクセスするすべてのユーザーに対して表示されます。
**重要**  
IAM Identity Center 管理者の場合は、IAM Identity Center コンソールを使用して、 AWS マネージドアプリケーションへの割り当てを削除できます。割り当てを削除する前に、アプリケーション管理者と調整することをお勧めします。また、割り当てが必要かどうかを決定する設定を変更したり、アプリケーションの割り当てを自動化したりする予定がある場合は、アプリケーション管理者と調整する必要があります。
+ **アプリケーションリソースへのアクセス**

   アプリケーションは、アプリケーション側で制御する独立したリソース割り当てを通じてアプリケーションリソースへのアクセスを管理します。

AWS マネージドアプリケーションは、アプリケーションリソースへのアクセスを管理するために使用できる管理ユーザーインターフェイスを提供します。たとえば、クイック管理者は、グループメンバーシップに基づいてダッシュボードにアクセスするユーザーを割り当てることができます。ほとんどの AWS マネージドアプリケーションは、アプリケーションにユーザーを割り当てることができる AWS マネジメントコンソール エクスペリエンスも提供します。これらのアプリケーションのコンソール環境には、ユーザー割り当て機能とアプリケーションリソースへのアクセスを管理する機能を組み合わせるために、両方の機能が統合されている場合があります。

## ID 情報の共有
<a name="app-enablement"></a>

### で ID 情報を共有する際の考慮事項 AWS アカウント
<a name="considerations-app-enablement"></a>

IAM アイデンティティセンターは、アプリケーション全体で最もよく使用される属性をサポートします。これらの属性には、姓名、電話番号、E メールアドレス、住所、優先する言語が含まれます。この個人を特定できる情報を使用できるアプリケーションとアカウントを慎重に検討してください。

この情報へのアクセスは、次のいずれかの方法で制御できます。
+  AWS Organizations 管理アカウントのみ、または のすべてのアカウントでアクセスを有効にすることができます AWS Organizations。
+ または、サービスコントロールポリシー (SCP) を使って、どのアプリケーションが AWS Organizationsのどのアカウントの情報にアクセスできるかを制御することができます。

たとえば、 AWS Organizations 管理アカウントでのみアクセスを有効にすると、メンバーアカウントのアプリケーションは情報にアクセスできません。すべてのアカウントでアクセスを有効にすると、SCP を使用して許可するアプリケーションを除く、すべてのアプリケーションによるアクセスを禁止できます。

サービスコントロールポリシーは の機能です AWS Organizations。SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。

### ID 情報を共有するための IAM アイデンティティセンターの設定
<a name="configure-app-enablement"></a>

IAM アイデンティティセンターは、サインイン認証情報を除く、ユーザーおよびグループの属性を含む ID ストアを提供します。以下のいずれかの方法で、IAM Identity Center ID ストアのユーザーとグループを更新することができます。
+ IAM Identity Center ID ストアをメインの ID ソースとして使用します。この方法を選択した場合は、IAM Identity Center コンソールまたは AWS Command Line Interface () 内からユーザー、サインイン認証情報、グループを管理しますAWS CLI。詳細については、「[アイデンティティセンターディレクトリでユーザーを管理する](manage-your-identity-source-sso.md)」を参照してください。
+ 以下のいずれかの ID ソースから IAM Identity Center の ID ストアにユーザーとグループのプロビジョニング (同期) を設定します。
  + **Active Directory** - 詳細については、「[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)」を参照してください。
  + **外部 ID プロバイダー** - 詳細については、「[外部 ID プロバイダー](manage-your-identity-source-idp.md)」を参照してください。

  このプロビジョニング方法を選択した場合、ユーザーとグループの管理は ID ソース内で継続され、それらの変更は IAM アイデンティティセンターの ID ストアに同期されます。

選択した ID ソースにかかわらず、IAM Identity Center はユーザーおよびグループの情報を AWS マネージドアプリケーションと共有できます。そのように、ID ソースを一度 IAM アイデンティティセンターに接続するだけで、 AWS クラウド内の複数のアプリケーションで ID 情報を共有することが可能になります。これにより、アプリケーションごとにフェデレーションや ID のプロビジョニングを個別に設定する必要がなくなります。また、この共有機能により、ユーザーに別の AWS アカウントで、多数のアプリケーションへのアクセスを簡単に与えることができます。

## AWS マネージドアプリケーションの使用を制限する
<a name="awsapps-constrain"></a>

IAM アイデンティティセンターを初めて有効にすると、 AWS Organizations内のすべてのアカウントで AWS マネージドアプリケーションの ID ソースとして利用可能になります。アプリケーションを制約するには、サービスコントロールポリシー (SCP) を実装する必要があります。SCPsは、組織内の ID (ユーザーとロール) が持つことができる最大アクセス許可を一元的に制御するために AWS Organizations 使用できる の機能です。SCP を使用して、IAM アイデンティティセンターのユーザーおよびグループ情報へのアクセスをブロックし、指定したアカウント以外ではアプリケーションを起動できないようにすることができます。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。

以下の SCP の例では、IAM アイデンティティセンターのユーザーおよびグループ情報へのアクセスをブロックし、指定したアカウント(111111111111 および 222222222222)以外ではアプリケーションを起動できないようにすることができます。

```
{
  "Sid": "DenyIdCExceptInDesignatedAWSAccounts",
  "Effect": "Deny",
  "Action": [
    "identitystore:*",
    "sso:*",
    "sso-directory:*",
    "sso-oauth:*"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalAccount": [
        "111111111111",
        "222222222222"
      ]
    }
  }
}
```