IAM Identity Center AD 同期
IAM アイデンティティセンターAD の同期では、IAM アイデンティティセンターを使用して、Active Directory 内のユーザーとグループに AWS アカウント および AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションへのアクセス許可を割り当てます。割り当てられた ID はすべて IAM Identity Center に自動的に同期されます。
IAM Identity Center AD 同期の仕組み
IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データを更新します。
作成
AWS コンソールまたは割り当て API コールを使用してユーザーまたはグループを AWS アカウント またはアプリケーションに割り当てると、ユーザー、グループ、メンバーシップに関する情報が IAM Identity Center の ID ストアに定期的に同期されます。IAM Identity Center の割り当てに追加されたユーザーまたはグループは、通常 2 時間以内に AWS ID ストアに表示されます。同期されるデータの量によっては、この処理に時間がかかる場合があります。同期されるのは、アクセス権が直接割り当てられているか、アクセス権が割り当てられているグループのメンバーであるユーザーとグループのみです。
他のグループメンバーであるグループ (ネストされたグループと呼ばれる) も、ID ストアに書き込まれます。ネストされたグループを含む Active Directory のグループへの割り当てを行う場合、割り当ての適用範囲は、AD 同期を使用するか設定可能な AD 同期を使用するかによって異なります。
-
AD 同期 — ネストされたグループを含む Active Directory 内のグループに対して割り当てを行うと、そのグループの直接のメンバーだけがアカウントにアクセスできます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ A の直属メンバーのみがアカウントにアクセスできます。グループ B のメンバーはアクセス権を引き継ぎません。
-
設定可能な AD 同期 — 設定可能な AD 同期を使用してネストされたグループを含む Active Directory 内のグループに割り当てを行うと、AWS アカウントまたはアプリケーションにアクセスできるユーザーの範囲が広くなる場合があります。この場合、割り当ては、ネストされたグループのユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。
ユーザーオブジェクトが最初に同期される前にユーザーが IAM Identity Center にアクセスした場合、そのユーザーの ID ストアのオブジェクトはジャストインタイム (JIT) プロビジョニングを使用してオンデマンドで作成されます。JIT プロビジョニングによって作成されたユーザーは、直接割り当てられた、またはグループベースの IAM Identity Center エンタイトルメントがない限り、同期されません。JIT でプロビジョニングされたユーザーのグループメンバーシップは、同期化されるまで利用できません。
AWS アカウント にユーザーにアクセス権を割り当てる方法については、AWS アカウント へのシングルサインオン・アクセス を参照してください。
更新
IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。Active Directory で変更された ID データは、通常 4 時間以内に AWS ID ストアに表示されます。同期されるデータの量によっては、この処理に時間がかかる場合があります。
ユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリで対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「アクセスコントロール用の属性の管理」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。さらに、ユーザー属性は、各ユーザー認証イベントで更新されます。
削除
対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。