委任された管理

委任管理により、登録済みのメンバーアカウントに割り当てられたユーザーが IAM Identity Center の大部分の管理タスクを簡単に実行できます。IAM Identity Center を有効にすると、デフォルトで AWS Organizations の管理アカウントに IAM Identity Center インスタンスが作成されます。これは当初、IAM Identity Center が組織のすべてのメンバーアカウントにわたってロールをプロビジョニング、プロビジョニング解除、更新できるようにするために設計されたものです。IAM Identity Center インスタンスは常に管理アカウントに存在する必要があるが、IAM Identity Center の管理を AWS Organizations のメンバーアカウントに委任することで、管理アカウントの外部から IAM Identity Center を管理する機能を拡張することができます。

委任管理を有効にすると、次の利点があります。

管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑え、セキュリティ上の懸念を軽減します。
特定の管理者が、アプリケーションや組織のメンバーアカウントにユーザーやグループを割り当てることができます。

IAM Identity Center と AWS Organizations の連携の詳細については、「AWS アカウントアクセス」を参照してください。追加情報や、委任管理の設定方法を示す企業シナリオの例を確認するには、「セキュリティブログAWS」の「IAM Identity Center 委任管理入門」を参照してください。

トピック

ベストプラクティス

委任管理を設定する前に考慮すべきいくつかのベストプラクティスを以下に示します。

管理アカウントへの最小権限の付与 — 管理アカウントは特権の高いアカウントであり、最小権限の原則に従うため、管理アカウントへのアクセスをできるだけ少数のユーザーに制限することを強くお勧めします。委任管理者機能は、管理アカウントへのアクセスを必要とするユーザーの数を最小限に抑えることを目的としています。
管理アカウントでのみ使用する権限セットを作成 — これにより、管理アカウントにアクセスするユーザー専用の権限セットを簡単に管理できるようになり、委任された管理者アカウントによって管理される権限セットと区別しやすくなります。
Active Directory ロケーションを検討 — IAM Identity Center のアイデンティティソースとして Active Directory を使用する予定の場合は、IAM Identity Center の委任管理者機能を有効にしたメンバーアカウント内のディレクトリを探してください。IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。
管理アカウントでのみユーザー割り当てを作成 — 委任された管理者は、管理アカウントにプロビジョニングされた権限セットを変更できません。ただし、委任管理者はグループとグループ割り当てを追加、編集、削除できます。

前提条件

アカウントを委任管理者として登録する前に、まず次の環境を展開する必要があります。

AWS Organizations は、デフォルトの管理アカウントに加えて、少なくとも 1 つのメンバーアカウントを有効にして設定する必要があります。
ID ソースが Active Directory に設定されている場合は、IAM Identity Center の構成可能な AD 同期機能を有効にする必要があります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS アカウントアクセス

メンバーアカウントを作成する