翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
へのアクセスを管理する AWS アカウント
AWS IAM Identity Center は と統合されているため AWS Organizations、各アカウントを手動で設定 AWS アカウント することなく、複数の にわたるアクセス許可を一元管理できます。アクセス許可を定義し、これらのアクセス許可をワークフォースユーザーに割り当てて、特定の へのアクセスを制御できます AWS アカウント。
AWS アカウント タイプ
AWS アカウント には 2 つのタイプがあります AWS Organizations。
-
管理アカウント - 組織の作成 AWS アカウント に使用される 。
-
メンバーアカウント - 組織 AWS アカウント に属する残りの 。
AWS アカウント タイプの詳細については、「 AWS Organizations ユーザーガイド」のAWS Organizations 「用語と概念」を参照してください。
IAM Identity Center の「委任管理者」としてメンバーアカウントを登録することもできます。このアカウントのユーザーは、ほとんどの IAM Identity Center 管理タスクを実行できます。詳細については、「委任された管理」を参照してください。
次の表は、タスクとアカウントタイプごとに、IAM Identity Center 管理タスクをアカウント内のユーザーが実行できるかどうかを示しています。
| IAM Identity Center 管理タスク | メンバーアカウント | 委任された管理者アカウント | 管理アカウント |
|---|---|---|---|
| ユーザーまたはグループの読み取り (グループ自体とグループのメンバーシップの読み取り) | |||
| ユーザーまたはグループを追加、編集、削除する | |||
| ユーザーアクセスの有効化または無効化 | |||
| 受信属性を有効化、無効化、管理する | |||
| ID ソースの変更または管理 | |||
| アプリケーションの作成、編集、削除を行う | |||
| MFA を設定 | |||
| 管理アカウントにプロビジョニングされていない権限セットを管理する | |||
| 管理アカウントにプロビジョニングされた権限セットを管理する | |||
| IAM Identity Center を有効にする | |||
| IAM Identity Center 設定を削除する | |||
| 管理アカウントのユーザーアクセスを有効または無効にします。 | |||
| メンバーアカウントを委任管理者として登録または登録解除する |
AWS アカウント アクセスの割り当て
「権限セット」を使用すると、組織内のユーザーやグループに AWS アカウントへのアクセスを割り当てる方法を簡素化することができます。権限セットは IAM Identity Center に保存され、ユーザーおよびグループが持つこの AWS アカウントに対するアクセスのレベルを定義します。1 つのアクセス許可セットを作成し、組織 AWS アカウント 内の複数の に割り当てることができます。同じユーザに複数の権限セットを割り当てることもできます。
アクセス権限セットの詳細については、「アクセス許可セットの作成、管理と削除」を参照してください。
注記
また、ユーザーにアプリケーションへのシングルサインオンアクセスを割り当てることもできます。詳細については、「アプリケーションへのアクセスの管理」を参照してください。
エンドユーザーエクスペリエンス
AWS アクセスポータルでは、IAM Identity Center ユーザーは、ウェブポータルを通じて、割り当てられたすべての AWS アカウント およびアプリケーションへのシングルサインオンアクセスが可能になります。 AWS アクセスポータルはAWS Management Console、 AWS リソースを管理するためのサービスコンソールのコレクションである とは異なります。
アクセス権限セットを作成すると、アクセス権限セットに指定した名前が、使用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、 を選択し AWS アカウント、ロールを選択します。ロールを選択すると、 を使用して AWS サービスにアクセスしたり、一時的な認証情報 AWS Management Console を取得してプログラムで AWS サービスにアクセスしたりできます。
を開く AWS Management Console か、一時的な認証情報を取得してプログラムで にアクセスするには AWS 、ユーザーは次のステップを実行します。
-
ユーザーはブラウザウィンドウを開き、指定したサインイン URL を使用して AWS アクセスポータルに移動します。
-
ディレクトリの認証情報を使用して、 AWS アクセスポータルにサインインします。
-
認証後、 AWS アクセスポータルページで アカウント タブを選択すると、 AWS アカウント アクセスできる のリストが表示されます。
-
次に、ユーザーは使用する AWS アカウント を選択します。
-
の名前の下に AWS アカウント、ユーザーが割り当てられるアクセス許可セットが使用可能なロールとして表示されます。例えば、アクセス
PowerUser許可セットjohn_stilesにユーザーを割り当てた場合、ロールは AWS アクセスポータルに として表示されますPowerUser/john_stiles。複数のアクセス権限セットが割り当てられている場合は、使用する ロールを選択する。ユーザーは自分のロールを選択して にアクセスできます AWS Management Console。 -
ロールに加えて、 AWS アクセスポータルのユーザーは、アクセスキー を選択して、コマンドラインまたはプログラムによるアクセス用の一時的な認証情報を取得できます。
ワークフォースユーザーに提供できる step-by-step ガイダンスについては、AWS アクセスポータルの使用「」および「」を参照してくださいAWS CLI または AWS SDKs。
アクセスの強制と制限
IAM Identity Center を有効にすると、IAM Identity Center はサービスにリンクされたロールを作成します。サービスコントロールポリシーを使用することもできます。
アクセス権の委任と強制
サービスにリンクされたロールは、 AWS サービスに直接リンクされた IAM ロールの一種です。IAM Identity Center を有効にすると、IAM Identity Center は組織 AWS アカウント 内の各 にサービスにリンクされたロールを作成できます。このロールは、IAM Identity Center が の組織 AWS アカウント 内の特定の へのシングルサインオンアクセス権を持つユーザーを委任して強制できるようにする事前定義されたアクセス許可を提供します AWS Organizations。このロールを使用するには、アカウントへのアクセス権を持つユーザーを 1 人以上割り当てる必要があります。詳細については、「サービスリンクロール」および「IAM Identity Center のサービスリンクロールの使用」を参照してください。
メンバーアカウントからのアイデンティティストアへのアクセスを制限する
IAM Identity Center で使用される Identity Store サービスの場合、メンバーアカウントにアクセスできるユーザーは、「読み取り」権限を必要とする API アクションを使用できます。メンバーアカウントは、「sso-directory」および「identitystore」ネームスペースの両方に対して「読み取り」アクションにアクセスできます。詳細については、「サービス認証リファレンス」の AWS IAM Identity Center 「ディレクトリのアクション、リソース、および条件キー」および AWS 「Identity Store のアクション、リソース、および条件キー」を参照してください。
メンバーアカウントのユーザーが Identity Store で API 操作を使用できないようにするには、「サービスコントロールポリシー (SCP) をアタッチ」できます。SCP は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。次の SCP の例では、メンバーアカウントのユーザーがアイデンティティストア内のあらゆる API オペレーションにアクセスできないようにします。
{ "Sid": "ExplicitlyBlockIdentityStoreAccess", "Effect": "Deny", "Action": "identitystore:*", "sso-directory:*"], "Resource": "*" }
注記
メンバーアカウントのアクセスを制限すると、IAM Identity Center 対応アプリケーションの機能が損なわれる可能性があります。
詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」を参照してください。
