カスタマーマネージドアプリケーションによる信頼できる ID の伝播の使用 - AWS IAM Identity Center
セットアップ信頼されたアプリケーションを指定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタマーマネージドアプリケーションによる信頼できる ID の伝播の使用

信頼できる ID の伝播により、カスタマーマネージドアプリケーションはユーザーに代わって AWS のサービス内のデータへのアクセスをリクエストできます。データアクセス管理はユーザーの ID に基づいているため、管理者はユーザーの既存のユーザーやグループのメンバーシップに基づいてアクセスを付与できます。ユーザーの ID、ユーザーに代わって実行されたアクション、およびその他のイベントは、サービス固有のログと CloudTrailイベントに記録されます。

信頼できる ID の伝播を使用すると、ユーザーはカスタマーマネージドアプリケーションにサインインでき、そのアプリケーションは AWS サービスのデータにアクセスするためのリクエストでユーザーの ID を渡すことができます。

重要

AWS サービスにアクセスするには、カスタマーマネージドアプリケーションが IAM Identity Center の外部にある信頼できるトークン発行者からトークンを取得する必要があります。信頼できるトークン発行者は、署名付きトークンを作成する OAuth 2.0 認証サーバーです。これらのトークンは、 AWS サービス (受信側アプリケーション) へのアクセスリクエストを開始するアプリケーションを承認します。詳細については、「信頼できるトークン発行者によるアプリケーションの使用」を参照してください。

信頼できる ID OAuth の伝播のためにカスタマーマネージド 2.0 アプリケーションをセットアップする

信頼できる ID の伝播用にカスタマーマネージド OAuth 2.0 アプリケーションをセットアップするには、まず IAM Identity Center に追加する必要があります。Identity IAM Center にアプリケーションを追加するには、次の手順に従います。

ステップ 1: アプリケーションタイプを選択する

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [アプリケーションの追加] を選択します。

  5. [アプリケーションタイプを選択] ページの [セットアッププリファレンス] で、[セットアップしたいアプリケーションがある] を選択します。

  6. アプリケーションタイプ で、OAuth2.0 を選択します。

  7. [次へ] を選択して次のページ、ステップ 2: アプリケーションの詳細を指定する に進みます。

ステップ 2: アプリケーションの詳細を指定する

  1. [アプリケーションの詳細を指定] ページの [アプリケーションの名前と説明] で、MyApp のようなアプリケーションの [表示名] を入力します。[Description] を入力します。

  2. [ユーザーとグループの割り当て方法] で、次のいずれかのオプションを選択します。

    • 割り当てが必要 — このアプリケーションに割り当てられた IAM Identity Center ユーザーとグループのみがアプリケーションにアクセスできるようにします。

      アプリケーションタイルの可視性 – AWS アクセスポータルのアプリケーション可視性が表示可能 に設定されている場合は、アプリケーションに直接割り当てられたユーザー、またはグループ割り当てによって割り当てられたユーザーのみが AWS 、 アクセスポータルのアプリケーションタイルを表示できます。

    • 割り当ては不要 — 承認されたすべての IAM Identity Center ユーザーとグループがこのアプリケーションにアクセスできるようにします。

      アプリケーションタイルの表示 — [ AWS アクセスポータルのアプリケーションの表示][非表示] に設定されていない限り、アプリケーションタイルは AWS アクセスポータルにサインインするすべてのユーザーに表示されます。

  3. AWS アクセスポータル で、URLユーザーがアプリケーションにアクセスできる を入力し、 AWS アクセスポータルでアプリケーションタイルを表示するかどうかを指定します。[非表示] を選択すると、割り当てられたユーザーでもアプリケーションタイルを表示できなくなります。

  4. [タグ (オプション)] で、[新しいタグを追加] を選択し、[キー] と [値 (オプション)] の値を指定します。

    タグの詳細については、「AWS IAM Identity Center リソースのタグ付け」を参照してください。

  5. [次へ] を選択し、次のページ、ステップ 3: 認証設定を指定する に進みます。

ステップ 3: 認証設定を指定する

2.0 をサポートするカスタマーマネージドアプリケーションを IAM Identity Center OAuth に追加するには、信頼できるトークン発行者を指定する必要があります。信頼できるトークン発行者は、署名付きトークンを作成する OAuth 2.0 認証サーバーです。これらのトークンは、 AWS マネージドアプリケーション (受信側アプリケーション) へのアクセスリクエストを開始するアプリケーション (受信側アプリケーション) を承認します。

  1. [認証設定を指定する] ページの、[信頼できるトークン発行者] で、次のいずれかを実行します。

    • 既存の信頼できるトークン発行者を使用するには:

      使用する信頼できるトークン発行者の名前の横にあるチェックボックスを選択します。

    • 新しい信頼できるトークン発行者を追加するには:

      1. [信頼できるトークン発行者を作成] を選択します。

      2. 新しいブラウザタブが開きます。信頼できるトークン発行者を IAM Identity Center コンソールに追加する方法 のステップ 5~8 を実行します。

      3. これらの手順を完了したら、アプリケーション設定に使用しているブラウザウィンドウに戻り、追加した信頼できるトークン発行者を選択します。

      4. 信頼できるトークン発行者の一覧で、さきほど追加した信頼できるトークン発行者の名前の横にあるチェックボックスをオンにします。

        信頼できるトークン発行者を選択すると、[選択したトラステッドトークン発行者の設定] セクションが表示されます。

  2. [選択したトラステッドトークン発行者の設定] で、[Aud クレーム] を入力します。[Aud クレーム] は、信頼できるトークン発行者が生成したトークンの対象者 (受信者) を識別します。詳細については、「Aud クレーム」を参照してください。

  3. ユーザーがこのアプリケーションを使用しているときに再認証を必要としないようにするには、[アクティブなアプリケーションセッションのユーザー認証を自動的に更新する] を選択します。このオプションを選択すると、セッションの有効期限が切れるか、ユーザーがセッションを終了するまで、60 分ごとにセッションのアクセストークンが更新されます。

  4. [次へ] を選択し、次のページ、ステップ 4: アプリケーション認証情報を指定する に進みます。

ステップ 4: アプリケーション認証情報を指定する

この手順のステップを完了して、アプリケーションが信頼できるアプリケーションとのトークン交換アクションを実行するときに使用する認証情報を指定します。これらの認証情報は、リソースベースのポリシーで使用されます。このポリシーでは、ポリシーで指定されているアクションを実行するアクセス許可持つプリンシパルを指定する必要があります。信頼できるアプリケーションが同じ AWS アカウントにあっても、プリンシパルを指定する必要があります

注記

ポリシーでアクセス許可を設定するときは、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。

このポリシーには sso-oauth:CreateTokenWithIAM アクションが必要です。

  1. [アプリケーション認証情報を指定] ページで、次のいずれかを実行します。

    • 1 つ以上のIAMロールをすばやく指定するには:

      1. 1 つ以上のIAMロールを入力 を選択します。

      2. IAM 「ロールの入力」で、既存のIAMロールの Amazon リソースネーム (ARN) を指定します。を指定するにはARN、次の構文を使用します。IAM リソースARNがグローバルであるため、 のリージョン部分は空白です。

          arn:aws:iam::account:role/role-name-with-path

        詳細については、「 ユーザーガイド」の「リソースベースのポリシーを使用したクロスアカウントアクセス」およびAWS Identity and Access Management 「」を参照してください。 IAM ARNs

    • ポリシーを手動で編集するには (AWS 非認証情報を指定する場合は必須)。

      1. [アプリケーションポリシーを編集] を選択します。

      2. JSON テキストボックスにテキストを入力または貼り付けて、ポリシーを変更します。

      3. ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決します。詳細については、「 AWS Identity and Access Management ユーザーガイド」のIAM「ポリシーの検証」を参照してください。

  2. [次へ] を選択して次のページ、ステップ 5: 確認して設定する に進みます。

ステップ 5: 確認して設定する

  1. [確認して設定] ページで、選択した内容を確認します。変更を加えるには、必要な構成セクションを選択し、[編集] を選択して必要なだけ変更を加えます。

  2. 完了したら、[アプリケーションを追加] を選択します。

  3. 追加したアプリケーションが [カスタマーマネージドアプリケーション] リストに表示されます。

  4. IAM Identity Center でカスタマーマネージドアプリケーションを設定したら、ID の伝播のために 1 つ以上の AWS サービスまたは信頼できるアプリケーションを指定する必要があります。これにより、ユーザーはカスタマーマネージドアプリケーションにサインインして、信頼できるアプリケーションのデータにアクセスできるようになります。

    詳細については、「信頼されたアプリケーションを指定する 」を参照してください。

信頼されたアプリケーションを指定する

カスタマーマネージドアプリケーション を設定したら、ID の伝播のために、1 つ以上の信頼できる AWS サービスまたは信頼できるアプリケーションを指定する必要があります。カスタマーマネージドアプリケーションのユーザーがアクセスする必要があるデータを含む AWS サービスを指定します。ユーザーがカスタマーマネージドアプリケーションにサインインすると、そのアプリケーションはユーザーの ID を信頼できるアプリケーションに渡します。

以下の手順を使用して、サービスを選択し、そのサービスで信頼する個々のアプリケーションを指定します。

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. カスタマーマネージドアプリケーションリストで、アクセスリクエストを開始する OAuth 2.0 アプリケーションを選択します。これはユーザーがサインインするアプリケーションです。

  5. [詳細ページ] の [ID の伝播のための信頼されたアプリケーション] で、[信頼されたアプリケーションを指定] を選択します。

  6. [セットアップタイプ] で、[個々のアプリケーションとアクセスの指定] を選択して、[次へ] を選択します。

  7. [サービスを選択] ページで、カスタマーマネージドアプリケーションが ID の伝播に関して信頼できるアプリケーションを含む AWS サービスを選択し、[次へ] を選択します。

    選択するサービスによって、信頼できるアプリケーションが定義されます。次のステップでは、アプリケーションを選択できます。

  8. [アプリケーションを選択] ページで、[個々のアプリケーション] を選択し、アクセスのリクエストを受信できる各アプリケーションのチェックボックスを選択して、[次へ] を選択します。

  9. [アクセスの設定] ページの [設定方法] で、次のいずれかを実行します。

    • [アプリケーションごとにアクセスを選択] — このオプションを選択すると、アプリケーションごとに異なるアクセスレベルを設定できます。アクセスレベルを設定するアプリケーションを選択し、[アクセスを編集] を選択します。[適用するアクセスのレベル] で、必要に応じてアクセスレベルを変更し、[変更の保存] を選択します。

    • [すべてのアプリケーションに同じアクセスレベルを適用する] — アプリケーションごとにアクセスレベルを設定する必要がない場合は、このオプションを選択します。

  10. [Next (次へ)] を選択します。

  11. [設定を確認] ページで、選択した内容を確認します。変更を加えるには、必要な設定セクションを選択し、[アクセスを編集] を選択して、必要なだけ変更を加えます。

  12. 完了したら、[信頼アプリケーション] を選択します。