AWS IAM Identity Center の有効化 - AWS IAM Identity Center

AWS IAM Identity Center の有効化

AWS Management Consoleにサインインして、IAM アイデンティティセンターの組織インスタンスを有効にするには、次の手順を実行します。

  1. 以下のいずれかを行って、AWS Management Console にサインインします。

    • 新規の AWS (ルートユーザー) – [ルートユーザー] を選択し、AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。

    • すでに使用している AWS (IAM 認証情報) — 管理者権限を持つ IAM 認証情報を使用してサインインします。

  2. IAM Identity Center コンソール を開きます。

  3. [IAM アイデンティティセンターを有効にする] で、[AWS Organizations で有効にする] を選択します。

  4. (オプション) この組織インスタンスに関連付けるタグを追加します。

  5. (オプション) 委任管理を設定します。

    注記

    マルチアカウント環境を使用している場合は、委任管理を設定することをお勧めします。委任管理では、AWS Organizations の管理アカウントへのアクセスを必要とするユーザーの数を制限できます。詳細については、「委任された管理」を参照してください。

重要

IAM アイデンティティセンターのアカウントインスタンスを作成する機能は、デフォルトで有効になっています。IAM アイデンティティセンターのアカウントインスタンスには、組織インスタンスで使用できる機能のサブセットが含まれています。サービスコントロールポリシーを使用して、ユーザーがこの機能にアクセスできるかどうかを制御できます。

ファイアウォールやゲートウェイを更新する必要がありますか?

次世代ファイアウォール (NGFW) や セキュア Web ゲートウェイ (SWG) などの Web コンテンツフィルタリングソリューションを使用して、特定の AWS ドメインや URL エンドポイントへのアクセスをフィルタリングする場合は、以下のドメインや URL エンドポイントを Web コンテンツフィルタリングソリューションの許可リストに追加する必要があります。これにより、AWS アクセスポータルにアクセスできます。

  • [Directory ID or alias].awsapps.com

  • *.aws.dev

  • *.awsstatic.com

  • *.console.aws.a2z.com

  • oidc.[Region].amazonaws.com

  • *.sso.amazonaws.com

  • *.sso.[Region].amazonaws.com

  • *.sso-portal.[Region].amazonaws.com

  • [Region].signin.aws

  • [Region].signin.aws.amazon.com

  • signin.aws.amazon.com

  • *.cloudfront.net

  • opfcaptcha-prod.s3.amazonaws.com

ドメインと URL エンドポイントの許可リストに関する考慮事項

AWS アクセスポータルを超えたドメインの許可リスト化の影響について説明します。

  • AWS アクセスポータルから AWS アカウント、AWS Management Console、および IAM Identity Center コンソールにアクセスするには、追加のドメインの許可リストを作成する必要があります。AWS Management Consoleドメインのリストについては、「AWS Management Console Getting Started Guide」の「Troubleshooting」を参照してください。

  • AWS アクセスポータルから AWS マネージドアプリケーションにアクセスするには、それぞれのドメインを許可リストに登録する必要があります。ガイダンスについては、各サービスドキュメントを参照してください。

  • これらの許可リストは AWS のサービスを対象としています。外部 IdPs (例えば、Okta や Microsoft Entra ID) などの外部ソフトウェアを使用する場合は、それらのドメインを許可リストに含める必要があります。

これで IAM アイデンティティセンターを設定する準備ができました。IAM アイデンティティセンターを有効にすると、デフォルトの ID ソースとして Identity Center ディレクトリが自動的に構成されます。これが IAM アイデンティティセンターの使用を開始する最も速い方法です。手順については、デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する を参照してください。

IAM アイデンティティセンターが Organizations、ID ソース、IAM ロールとどのように連携するかについて詳しく知りたい場合は、以下のトピックを参照してください。

トピック