IAM Identity Center の設定可能な AD 同期 - AWS IAM Identity Center
前提条件と考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center の設定可能な AD 同期

IAM Identity Center の設定可能な Active Directory (AD) 同期を使用すると、IAMIdentity Center に自動的に同期される Microsoft Active Directory の ID を明示的に設定し、同期プロセスを制御できます。

前提条件と考慮事項

設定可能な AD Sync を使用する前に、以下の前提条件と考慮事項に注意してください。

  • Active Directory 内のユーザーとグループを指定して同期する

    IAM Identity Center を使用して新しいユーザーとグループに へのアクセスを割り当てる前に AWS アカウント および から AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションでは、Active Directory で同期するユーザーとグループを指定し、IAMIdentity Center に同期する必要があります。

    • AD 同期 – Identity Center コンソールまたは関連する割り当てAPIアクションを使用して新しいユーザーとグループに割り当てると、IAMIdentIAMity Center はドメインコントローラーで指定されたユーザーまたはグループを直接検索し、割り当てを完了してから、ユーザーまたはグループのメタデータを IAM Identity Center に定期的に同期します。

    • 設定可能な AD 同期 — IAM Identity Center はドメインコントローラーでユーザーやグループを直接検索しません。代わりに、同期するユーザーとグループのリストを最初に指定する必要があります。このリストは、同期スコープ とも呼ばれ、IAMIdentity Center に既に同期されているユーザーとグループがあるか、設定可能な AD 同期を使用して初めて同期する新しいユーザーとグループがあるかに応じて、次のいずれかの方法で設定できます。

      • 既存のユーザーとグループ: IAM Identity Center に既に同期されているユーザーとグループがある場合、設定可能な AD 同期の同期スコープには、それらのユーザーとグループのリストがあらかじめ入力されています。新しいユーザーまたはグループを割り当てるには、それらを同期スコープに具体的に追加する必要があります。詳細については、「ユーザーとグループを同期スコープに追加します」を参照してください。

      • 新しいユーザーとグループ: 新しいユーザーとグループに へのアクセスを割り当てる場合 AWS アカウント および をアプリケーションに追加するには、IAMIdentity Center を使用して割り当てを行う前に、設定可能な AD 同期で同期スコープに追加するユーザーとグループを指定する必要があります。詳細については、「ユーザーとグループを同期スコープに追加します」を参照してください。

  • Active Directory 内のネストされたグループへの割り当てを行う

    他のグループのメンバーであるグループは、ネストされたグループ (または子グループ) と呼ばれます。ネストされたグループを含む Active Directory のグループに割り当てる場合、割り当ての適用方法は、AD 同期を使用するか、設定可能な AD 同期を使用するかによって異なります。

    • AD 同期 – ネストされたグループを含む Active Directory のグループに割り当てると、グループの直接のメンバーのみがアカウントにアクセスできます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ A の直属メンバーのみがアカウントにアクセスできます。グループ B のメンバーはアクセス権を引き継ぎません。

    • 設定可能な AD 同期 – 設定可能な AD 同期を使用して、ネストされたグループを含む Active Directory 内のグループに割り当てると、 にアクセスできるユーザーの範囲が拡大する可能性があります。 AWS アカウント アプリケーションへの または 。この場合、割り当ては、ネストされたグループ内のユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。

  • 自動化されたワークフローの更新

    IAM Identity Center アイデンティティストアAPIアクションと IAM Identity Center 割り当てAPIアクションを使用して、新しいユーザーとグループにアクセスをアカウントとアプリケーションに割り当て、それらを IAM Identity Center に同期する自動化されたワークフローがある場合は、設定可能な AD 同期で期待どおりに機能するように、2022 年 4 月 15 日までにこれらのワークフローを調整する必要があります。設定可能な AD Sync により、ユーザーとグループの割り当てとプロビジョニングが行われる順序、およびクエリの実行方法が変わります。

    • AD Sync — 割り当てのプロセスが最初に行われます。ユーザーとグループに へのアクセスを割り当てる AWS アカウント アプリケーションへの および 。ユーザーとグループにアクセスが割り当てられると、自動的にプロビジョニングされます (IAMIdentity Center と同期されます)。自動ワークフローがある場合、Active Directory に新しいユーザーを追加すると、自動ワークフローは ID ストアListUserAPIアクションを使用してユーザーの Active Directory をクエリし、IAMIdentity Center 割り当てAPIアクションを使用してユーザーアクセスを割り当てることができます。ユーザーには割り当てがあるため、そのユーザーは自動的に IAM Identity Center にプロビジョニングされます。

    • 設定可能な AD 同期 — プロビジョニングが最初に実行され、自動的には実行されません。代わりに、まずユーザーとグループを同期スコープに追加して、ID ストアに明示的に追加する必要があります。設定可能な AD Sync の同期設定を自動化するための推奨手順については、同期設定を自動化して、設定可能な AD 同期を実現します。 を参照してください。

トピック