IAM Identity Center の設定可能な AD 同期 - AWS IAM Identity Center
前提条件と考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center の設定可能な AD 同期

IAM Identity Center の設定可能な Active Directory (AD) 同期を使用すると、IAMIdentity Center に自動的に同期される Microsoft Active Directory の ID を明示的に設定し、同期プロセスを制御できます。

前提条件と考慮事項

設定可能な AD Sync を使用する前に、以下の前提条件と考慮事項に注意してください。

  • Active Directory 内のユーザーとグループを指定して同期する

    IAM Identity Center を使用して、新しいユーザーとグループに AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションへのアクセス AWS アカウント を割り当てる前に、同期する Active Directory のユーザーとグループを指定し、それらを IAM Identity Center に同期する必要があります。

    • AD 同期 – Identity Center コンソールまたは関連する割り当てAPIアクションを使用して新しいユーザーとグループに割り当てると、IAMIdentIAMity Center はドメインコントローラーで指定されたユーザーまたはグループを直接検索し、割り当てを完了してから、ユーザーまたはグループのメタデータを IAM Identity Center に定期的に同期します。

    • 設定可能な AD 同期 – IAM Identity Center はドメインコントローラーでユーザーとグループを直接検索しません。代わりに、同期するユーザーとグループのリストを最初に指定する必要があります。同期スコープとも呼ばれるこのリストは、IAMIdentity Center に既に同期されているユーザーとグループがあるかどうか、または設定可能な AD 同期を使用して初めて同期する新しいユーザーとグループがあるかどうかに応じて、次のいずれかの方法で設定できます。

      • 既存のユーザーとグループ: IAMアイデンティティセンターに既に同期されているユーザーとグループがある場合、設定可能な AD 同期の同期スコープには、それらのユーザーとグループのリストがあらかじめ入力されています。新しいユーザーまたはグループを割り当てるには、それらを同期スコープに具体的に追加する必要があります。詳細については、「ユーザーとグループを同期スコープに追加します」を参照してください。

      • 新しいユーザーとグループ: 新しいユーザー AWS アカウント とグループにアプリケーションへのアクセスを割り当てる場合は、IAMIdentity Center を使用して割り当てを行う前に、設定可能な AD 同期で同期スコープに追加するユーザーとグループを指定する必要があります。詳細については、「ユーザーとグループを同期スコープに追加します」を参照してください。

  • Active Directory 内のネストされたグループへの割り当てを行う

    別のグループのメンバーであるグループは、ネストされたグループ (または子グループ) と呼ばれます。ネストされたグループを含む Active Directory のグループへの割り当てを行う場合、割り当ての適用範囲は、AD 同期を使用するか設定可能な AD 同期を使用するかによって異なります。

    • AD 同期 — ネストされたグループを含む Active Directory 内のグループに対して割り当てを行うと、そのグループの直接のメンバーだけがアカウントにアクセスできます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ A の直属メンバーのみがアカウントにアクセスできます。グループ B のメンバーはアクセス権を引き継ぎません。

    • 設定可能な AD 同期 — 設定可能な AD 同期を使用してネストされたグループを含む Active Directory 内のグループに割り当てを行うと、 AWS アカウント またはアプリケーションにアクセスできるユーザーの範囲が広くなる場合があります。この場合、割り当ては、ネストされたグループのユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。

  • 自動化されたワークフローの更新

    IAM Identity Center のアイデンティティストアAPIアクションと IAM Identity Center の割り当てAPIアクションを使用して、新しいユーザーとグループにアカウントとアプリケーションへのアクセスを割り当て、それらを IAM Identity Center に同期する自動ワークフローがある場合は、2022 年 4 月 15 日までにそれらのワークフローを調整して、設定可能な AD 同期で期待どおりに機能するようにする必要があります。設定可能な AD Sync により、ユーザーとグループの割り当てとプロビジョニングが行われる順序、およびクエリの実行方法が変わります。

    • AD Sync — 割り当てのプロセスが最初に行われます。ユーザーとグループには、 AWS アカウント および アプリケーションへのアクセス権を割り当てます。ユーザーとグループにアクセスが割り当てられると、自動的にプロビジョニングされます (IAMIdentity Center と同期されます)。自動ワークフローがある場合、Active Directory に新しいユーザーを追加すると、自動ワークフローは ID ストアListUserAPIアクションを使用してユーザーの Active Directory をクエリし、IAMIdentity Center 割り当てAPIアクションを使用してユーザーアクセスを割り当てることができます。ユーザーには割り当てがあるため、そのユーザーは自動的に IAM Identity Center にプロビジョニングされます。

    • 設定可能な AD 同期 — プロビジョニングが最初に実行され、自動的には実行されません。代わりに、まずユーザーとグループを同期スコープに追加して、ID ストアに明示的に追加する必要があります。設定可能な AD Sync の同期設定を自動化するための推奨手順については、同期設定を自動化して、設定可能な AD 同期を実現します。 を参照してください。

トピック