IAM Identity Center のサービスリンクロールについて - AWS IAM Identity Center

IAM Identity Center のサービスリンクロールについて

サービスにリンクされたロールは、IAM Identity Center が、組織内の特定の AWS アカウント へのシングルサインオン・アクセスを持つユーザーを AWS Organizations に委譲し、実施できるようにするための事前定義された権限を提供します。このサービスでは、サービスにリンクされたロールを組織内のすべての AWS アカウント でプロビジョニングすることで、この機能を有効にします。それにより、IAM Identity Center などの他の AWS サービスがサービス関連のタスクを実行するためにこれらのロールを活用できるようになります。詳細については、「AWS Organizations およびサービスにリンクされたロール」 を参照してください。

IAM Identity Center を有効にすると、IAM Identity Center は AWS Organizations の組織内のすべてのアカウントにサ ービスにリンクされたロールを作成します。また、IAM Identity Center では、その後組織に追加されるすべてのアカウントに、同じサービスにリンクしたロールが作成されます。このロールは、IAM Identity Center が顧客に代わって各アカウントのリソースにアクセスすることを可能にします。詳細については、「AWS アカウント アクセス」を参照してください。

各 AWS アカウント に作成されるサービスにリンクされたロール名は AWSServiceRoleForSSO です。詳細については、「IAM Identity Center のサービスリンクロールの使用」を参照してください。

メモ

  • AWS Organizations 管理アカウントにサインインしている場合、サービスリンクロールではなく、現在サインインしているロールが使用されます。これにより、権限の昇格を防ぐことができます。

  • IAM Identity Center が AWS Organizations 管理アカウントで IAM 操作を実行すると、すべての操作は IAM プリンシパルの認証情報を使用して行われます。これにより、CloudTrail のログから、管理アカウントのすべての権限変更を誰が行ったかがわかります。