設定可能な AD 同期の仕組み

IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データをリフレッシュします。

作成

Active Directory 内の自己管理型ディレクトリ、AWS Managed Microsoft AD または AWS Directory Service によって管理されているディレクトリを IAM ID センターに接続したら、IAM ID センターのアイデンティティストアに同期する Active Directory ユーザーとグループを明示的に設定できます。選択した ID は、3 時間ごとに IAM Identity Center の ID ストアに同期されます。ディレクトリのサイズによっては、同期処理に時間がかかる場合があります。

割り当てられたグループのメンバーであるグループ (ネストされたグループまたは子グループと呼ばれる) も、ID ストアに書き込まれます。ネストされたグループを含む Active Directory のグループへの割り当てを行う場合、割り当ての適用範囲は、AD 同期を使用するか設定可能な AD 同期を使用するかによって異なります。詳細については、「Making assignments to nested groups in Active Directory」を参照してください。

新しいユーザーまたはグループが IAM Identity Center アイデンティティストアと同期された後にのみ、アクセス権を割り当てることができます。

更新

IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。IAM Identity Center は、デフォルトでは 1 時間ごとの同期サイクルでお使いの Active Directory との間でデータを同期します。Active Directory のサイズによっては、データが IAM Identity Center に同期されるまでに 30 分から 2 時間かかる場合があります。

同期スコープにあるユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリの対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「アクセス制御用の属性」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。Active Directory で行った属性の更新が IAM Identity Center に反映されるには、1 回の同期サイクルが必要な場合があります。

IAM Identity Center ID ストアに同期するユーザーとグループのサブセットを更新することもできます。このサブセットに新しいユーザーまたはグループを追加するか、削除するかを選択できます。追加した ID は、次回の定期同期時に同期されます。サブセットから削除した ID は、IAM Identity Center ID ストアで更新されなくなります。28 日以上同期されていないユーザーは、IAM Identity Center ID ストアで無効になります。対応するユーザーオブジェクトは、同期スコープにまだ含まれている別のグループに属していない限り、次回の同期サイクル時に IAM Identity Center ID ストアで自動的に無効になります。

削除

対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。または、IAM Identity Center コンソールを使用して IAM Identity Center ID ストアからユーザーオブジェクトを明示的に削除することもできます。IAM Identity Center コンソールを使用する場合は、次回の同期サイクル中に IAM Identity Center に再同期されないように、同期スコープからユーザーを削除する必要もあります。

同期をいつでも一時停止と再開することもできます。28 日以上同期を一時停止すると、すべてのユーザーが無効になります。