AWS アカウント アクセス - AWS IAM Identity Center

AWS アカウント アクセス

AWS IAM Identity Center が AWS Organizations と統合されているため、各アカウントを手動で設定することなく、複数の AWS アカウント にまたがる権限を一元管理できます。IAM Identity Center の組織インスタンスを使用して、権限を定義し、これらの権限をワークフォースユーザーに割り当てて、特定の AWS アカウントへのアクセスを制御することができます。IAM Identity Center のアカウントインスタンスは、アカウントアクセスをサポートしていません。

AWS アカウント タイプ

AWS Organizations には次の 2 種類の AWS アカウント があります。

  • 管理アカウント - 組織を作成するために使用する AWS アカウント。

  • メンバーアカウント - 組織に属する残りの AWS アカウント。

AWS アカウント タイプの詳細については、「AWS Organizations ユーザーガイド」の「AWS Organizations Terminology and Concepts」(用語とコンセプト) を参照してください。

IAM Identity Center の「委任管理者」としてメンバーアカウントを登録することもできます。このアカウントのユーザーは、ほとんどの IAM Identity Center 管理タスクを実行できます。詳細については、「委任された管理」を参照してください。

次の表は、タスクとアカウントタイプごとに、IAM Identity Center 管理タスクをアカウント内のユーザーが実行できるかどうかを示しています。

IAM Identity Center 管理タスク メンバーアカウント 委任された管理者アカウント 管理アカウント
ユーザーまたはグループの読み取り (グループ自体とグループのメンバーシップの読み取り) はい はい はい
ユーザーまたはグループを追加、編集、削除する いいえ はい はい
ユーザーアクセスの有効化または無効化 いいえ はい はい
受信属性を有効化、無効化、管理する いいえ はい はい
ID ソースの変更または管理 いいえ はい はい
カスタマーマネージドアプリケーションの作成、編集、削除 いいえ はい はい
AWS マネージドアプリケーションの作成、編集、削除 はい はい はい
MFA を設定 いいえ はい はい
管理アカウントにプロビジョニングされていない権限セットを管理する いいえ はい はい
管理アカウントにプロビジョニングされた権限セットを管理する いいえ いいえ はい
IAM Identity Center を有効にする いいえ いいえ はい
IAM Identity Center 設定を削除する いいえ いいえ はい
管理アカウントのユーザーアクセスを有効または無効にします。 いいえ いいえ はい
メンバーアカウントを委任管理者として登録または登録解除する いいえ いいえ はい

AWS アカウント アクセスの割り当て

「権限セット」を使用すると、組織内のユーザーやグループに AWS アカウント へのアクセスを割り当てる方法を簡素化することができます。権限セットは IAM Identity Center に保存され、ユーザーおよびグループが持つこの AWS アカウント に対するアクセスのレベルを定義します。1 つの権限セットを作成して、組織内の複数の AWS アカウント に割り当てることができます。同じユーザに複数の権限セットを割り当てることもできます。

アクセス権限セットの詳細については、「アクセス許可セットの作成、管理と削除」を参照してください。

注記

また、ユーザーにアプリケーションへのシングルサインオンアクセスを割り当てることもできます。詳細については、アプリケーションアクセス を参照してください。

エンドユーザーエクスペリエンス

「AWSアクセスポータル」は、IAM Identity Center ユーザーに、AWS アカウント ウェブポータルを介して、割り当てられたすべて のアプリケーションへのシングルサインオンアクセスを提供する。AWS アクセスポータルは、AWS リソースを管理するためのサービスコンソールの集合体である AWS Management Console とは異なります。

権限セットを作成すると、このセットに指定した名前は、使用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、AWS アカウント を選択し、次にロールを選択します。ロールを選択した後、AWS Management Console を使用して AWS サービスにアクセスするか、一時的な資格情報を取得してプログラム的に AWS サービスにアクセスすることができます。

プログラムで AWS Management Console を開くか、一時的な認証情報を取得して AWS にアクセスするには、次の手順を実行する必要があります。

  1. ユーザーはブラウザーウィンドウを開き、入力されたサインイン URL を使用して AWS アクセスポータルに移動します。

  2. ディレクトリの認証情報を使用して、AWS アクセスポータルにサインインします。

  3. 認証後、AWS アクセスポータルページで [アカウント] タブを選択し、アクセスできる AWS アカウントのリストを表示させます。

  4. ここから使用したい AWS アカウントを選択します。

  5. AWS アカウント の名前の下に、ユーザが割り当てられている権限セットが利用可能なロ ールとして表示されます。たとえば、ユーザー john_stilesPowerUser 権限セットに割り当てている場合、AWS アクセスポータルに表示されるロール名は PowerUser/john_stiles となります。複数のアクセス権限セットが割り当てられている場合は、使用する ロールを選択する。ユーザーはロールを選択して AWS Management Consoleにアクセスできます。

  6. ロールに加えて、AWS アクセスポータルユーザーは、[アクセスキー] を選択して、コマンドラインまたはプログラムによるアクセスのための一時的な認証情報を取得できます。

ワークフォースユーザーに提供できるステップバイステップガイドについては、AWS アクセスポータルの使用AWS CLI または AWS SDK の IAM Identity Center のユーザー認証情報を取得します。 を参照してください。

アクセスの強制と制限

IAM Identity Center を有効にすると、IAM Identity Center はサービスにリンクされたロールを作成します。サービスコントロールポリシーを使用することもできます。

アクセス権の委任と強制

サービスにリンクされたロールは、AWS のサービスに直接リンクされた一意のタイプの IAM ロールです。IAM Identity Center を有効にすると、IAM Identity Center は組織内の各 AWS アカウント にサービスリンクされたロールを作成できます。このロールは、IAM Identity Center が、組織内の特定の AWS アカウント へのシングルサインオンアクセスを持つユーザーを AWS Organizations に委譲し、実施できるようにするための事前定義された権限を提供します。このロールを使用するには、アカウントへのアクセス権を持つユーザーを 1 人以上割り当てる必要があります。詳細については、IAM Identity Center のサービスリンクロールについておよびIAM Identity Center のサービスリンクロールの使用を参照してください。

メンバーアカウントからのアイデンティティストアへのアクセスを制限する

IAM Identity Center で使用される Identity Store サービスの場合、メンバーアカウントにアクセスできるユーザーは、「読み取り」権限を必要とする API アクションを使用できます。メンバーアカウントは、「sso-directory」および「identitystore」ネームスペースの両方に対して「読み取り」アクションにアクセスできます。詳細については、「Service Authorization Reference」の「Actions, resources, and condition keys for AWS IAM Identity Center directory」と「Actions, resources, and condition keys for AWS Identity Store」を参照してください。

メンバーアカウントのユーザーが Identity Store で API 操作を使用できないようにするには、「サービスコントロールポリシー (SCP) をアタッチ」できます。SCP は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。次の SCP の例では、メンバーアカウントのユーザーがアイデンティティストア内のあらゆる API オペレーションにアクセスできないようにします。

{ "Sid": "ExplicitlyBlockIdentityStoreAccess", "Effect": "Deny", "Action": "identitystore:*", "sso-directory:*"], "Resource": "*" }
注記

メンバーアカウントのアクセスを制限すると、IAM Identity Center 対応アプリケーションの機能が損なわれる可能性があります。

詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」を参照してください。