AWS IAM アイデンティティセンターに関するよくある質問

IAM アイデンティティセンターは、AWS Identity and Access Management (IAM) の上に構築されており、複数の AWS アカウント、AWS アプリケーション、その他の SAML 対応クラウドアプリケーションへのアクセス管理を簡素化することができます。IAM アイデンティティセンターでは、AWS 全体で使用するワークフォースユーザーを作成、または接続します。AWS アカウントのみ、クラウドアプリケーションのみ、またはその両方へのアクセスを管理できます。IAM アイデンティティセンターで直接ユーザーを作成することも、既存のワークフォースディレクトリからユーザーを呼び出すことも可能です。IAM アイデンティティセンターでは、統一された管理エクスペリエンスにより、きめ細かなアクセスの定義、カスタマイズ、割り当てが可能です。ワークフォースユーザーは、割り当てられた AWS アカウントやクラウドアプリケーションにアクセスするためのユーザーポータルを得ることができます。

IAM Identity Center を使用すると、複数の AWS アカウント、 SAML 対応のクラウドアプリケーション (Salesforce、Microsoft 365、Box など)、およびカスタムビルドの社内アプリケーションへの従業員のアクセス権を、すべて一元的にすばやく簡単に割り当てて管理できます。従業員は、既存の認証情報または IAM アイデンティティセンターで設定した認証情報を使用してサインインすることで、より生産的になることができます。そして、単一のパーソナライズされたユーザーポータルを使用することができます。AWS CloudTrail からサインインアクティビティを一元的に監視および監査できるため、クラウドアプリケーションの使用状況をよりよく把握できます。

IAM アイデンティティセンターは、AWS アカウントごとに個別に権限をフェデレートし管理する管理上の複雑さを解消します。単一のインターフェイスから AWS アプリケーションをセットアップし、クラウドアプリケーションへのアクセスを単一の場所から割り当てることができます。

IAM Identity Center は AWS CloudTrail と統合され、AWS アカウントや Microsoft 365、Salesforce、Box などの SAML 対応クラウドアプリケーションへのシングルサインオンアクセスを一元的に監査できる場所を提供することで、アクセスの可視性を高めるのにも役立ちます。

IAM アイデンティティセンターは、私たちが推奨する AWS へのフロントドアです。これは、ワークフォースユーザーの AWS アクセスを管理するための主要なツールであるべきです。ID をお好みの ID ソースで管理し、AWS で使用するために一度接続し、きめ細かいアクセス権を定義し、アカウント間で一貫して適用することが可能です。アカウント数がスケールするにつれて、IAM アイデンティティセンターは、すべてのクラウドアプリケーションへのユーザーアクセスを管理する単一の場所として使用するオプションを提供します。

IAM Identity Center を使用すると、AWS 組織内の AWS アカウント、ビジネスクラウドアプリケーション (Salesforce、Microsoft 365、Box など)、およびセキュリティアサーションマークアップ言語 (SAML) 2.0 をサポートするカスタムアプリケーションへのアクセス権を従業員にすばやく簡単に割り当てることができます。従業員は、1 つのユーザーポータルから既存の社内の認証情報、もしくは IAM アイデンティティセンターで設定した認証情報を使用してサインインし、ビジネスアプリケーションにアクセスできます。また、IAM アイデンティティセンターでは、AWS CloudTrail を使用してクラウドサービスへのユーザーのアクセスを監査できます。

IAM アイデンティティセンターは、複数の AWS アカウントやビジネスアプリケーションを管理する管理者のためのサービスです。前述のようなクラウドサービスへのユーザーアクセス管理を一元化し、それらのアカウントへのアクセスを 1 つの場所で提供することにより、従業員に個別のパスワードを記憶させる負担を回避できます。

IAM アイデンティティセンターの新しいお客様として、お客様は:

AWS アカウントの管理アカウントの AWS マネジメントコンソールにサインインし、IAM アイデンティティセンターコンソールに移動します。

IAM アイデンティティセンターコンソールから、ユーザーとグループのアイデンティティの保存に使用するディレクトリを選択します。IAM アイデンティティセンターはデフォルトで、IAM アイデンティティセンター内でユーザーとグループの管理に使用できるディレクトリを提供しています。IAM アイデンティティセンターがお使いのアカウントで自動的に検出する Managed Microsoft AD および AD Connector インスタンスのリストをクリックしてディレクトリを変更し、Microsoft AD ディレクトリに接続することもできます。Microsoft AD ディレクトリに接続する場合は、「AWS ディレクトリサービスの使用開始」を参照してください。

企業の AWS アカウントへのシングルサインオンアクセスをユーザーに許可するには、IAM アイデンティティセンターによって入力されたリストから AWS アカウントを選択します。続いて、ユーザーまたはグループをディレクトリから選択し、付与するアクセス権限を選択します。

ビジネスクラウドアプリケーションへのアクセス権をユーザーに付与するには、以下の手順を実行します。

a.IAM アイデンティティセンターでサポートされる事前統合済みのアプリケーションのリストから、アプリケーションを 1 つ選択します。

b.設定手順に従ってアプリケーションを設定します。

c.設定したアプリケーションにアクセスできるユーザーまたはグループを選択します。

ディレクトリを設定した際に生成された IAM アイデンティティセンターサインインのウェブアドレスを提供することで、ユーザーは IAM アイデンティティセンターにサインインしアカウントとビジネスアプリケーションにアクセスできるようになります。

IAM アイデンティティセンターに追加料金は必要ありません。

IAM アイデンティティセンターのリージョン別の可用性については、AWS リージョン表を参照してください。

IAM Identity Center を使用すると、IAM アイデンティティセンターのアイデンティティストアでユーザー ID を作成して管理したり、Microsoft Active Directory、Okta ユニバーサルディレクトリ、Microsoft Entra ID (以前の Azure AD)、またはサポートされている他の IdP を含む既存のアイデンティティソースに簡単に接続したりできます。詳細については、 IAM Identity Center ユーザーガイドを参照してください。

いいえ。どのような場合も、IAM アイデンティティセンターに接続できるのは単一のディレクトリ、または単一の SAML 2.0 アイデンティティプロバイダーのみです。ただし、接続されているアイデンティティソースを別のソースに変更することは可能です。

IAM アイデンティティセンターは、Okta Universal Directory または Microsoft Entra ID (以前の Azure AD) などのほとんどの SAML 2.0 IdP に接続できます。詳細については、 IAM Identity Center ユーザーガイドを参照してください。

いいえ。IAM アイデンティティセンターは、お客様の AWS アカウント内の既存の IAM ロール、ユーザー、ポリシーを変更しません。IAM アイデンティティセンターは、IAM アイデンティティセンターを使用するための新しいロールとポリシーを作成します。

既存の IdP からのアイデンティティは、IAM アイデンティティセンターにプロビジョニングしてからアクセス許可を割り当てる必要があります。Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、OneLogin、PingFederate からのユーザーおよびグループの情報は、System for Cross-domain Identity Management (SCIM) 標準を使用して自動的に同期できます。他の IdP については、IAM アイデンティティセンターコンソールを使用して、IdP からのユーザーをプロビジョニングできます。詳細については、 IAM Identity Center ユーザーガイドを参照してください。

IAM アイデンティティセンターを有効にした後も、すべての既存の IAM ロールまたはユーザーはこれまで通り機能します。これは、AWS への既存のアクセスを中断することなく、段階的に IAM アイデンティティセンターに移行できるということを意味します。

IAM アイデンティティセンターは、AWS アカウント内で使用する新しいロールをプロビジョニングします。既存の IAM ロールで使用しているのと同じポリシーを、IAM アイデンティティセンターで使用される新しいロールにアタッチできます。

IAM アイデンティティセンターは IAM ユーザーとグループを作成しません。ユーザー情報を保持するための専用の ID ストアがあります。外部 ID プロバイダーを使用する場合、アイデンティティセンターはユーザー属性とグループメンバーシップの同期されたコピーを保持しますが、パスワードや MFA デバイスなどの認証情報は保持しません。外部 ID プロバイダーは、引き続きユーザー情報と属性の信頼できる情報源となります。

はい。Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、OneLogin、PingFederate のいずれかを使用している場合、SCIM を使用してユーザーおよびグループの情報を IdP から IAM アイデンティティセンターに自動的に同期できます。詳細については、 IAM Identity Center ユーザーガイドを参照してください。

IAM アイデンティティセンターは、AWS Directory Service を使ってオンプレミスの Active Directory (AD) または AWS Managed Microsoft AD ディレクトリに接続できます。詳細については、 IAM Identity Center ユーザーガイドを参照してください。

オンプレミスでホストされている Active Directory を IAM アイデンティティセンターに接続するためのオプションには、(1) AD Connector を使用する、または (2) AWS Managed Microsoft AD の信頼関係を使用する 2 つのオプションがあります。 AD Connector は単に、既存のオンプレミス Active Directory を AWS に接続します。AD Connector はディレクトリゲートウェイで、クラウドに情報をキャッシュすることなく、ディレクトリリクエストをオンプレミスの Microsoft Active Directory にリダイレクトすることができます。AD Connector を使用してオンプレミスディレクトリに接続するには、 AWS ディレクトリサービス管理ガイドを参照してください。 AWS Managed Microsoft AD は AWS での Microsoft Active Directory のセットアップと実行を容易にします。これは、オンプレミスディレクトリと AWS Managed Microsoft AD 間のフォレスト信頼関係をセットアップするために使用できます。信頼関係を設定するには、 AWS ディレクトリサービス管理ガイドを参照してください。

Amazon Cognito は、顧客向けアプリケーションの ID を管理するのに役立つサービスであり、IAM Identity Center ではサポートされていない ID ソースです。ワークフォースアイデンティティは、IAM アイデンティティセンター、または Microsoft Active Directory、Okta ユニバーサルディレクトリ、Microsoft Entra ID (旧称 Azure AD)、またはサポートされている他のIdPなどの外部アイデンティティソースで作成および管理できます。

はい。IAM アイデンティティセンターを使って AWS マネジメントコンソールと CLI v2 へのアクセスを制御できます。IAM アイデンティティセンターは、ユーザーがシングルサインオンエクスペリエンスを通じて CLI および AWS マネジメントコンソールにアクセスできるようにします。AWS Mobile Console アプリケーションも IAM アイデンティティセンターをサポートしているため、ブラウザ、モバイル、およびコマンドラインのインターフェイス全体で一貫的なサインインエクスペリエンスを実現できます。

IAM アイデンティティセンターには以下のアプリケーションを接続できます。

IAM アイデンティティセンター統合アプリケーション:SageMaker Studio や IoT SiteWise などの IAM アイデンティティセンター統合アプリケーションは、認証に IAM アイデンティティセンターを使用し、IAM アイデンティティセンターにあるアイデンティティと連携します。これらのアプリケーションにアイデンティティを同期化する、または個別にフェデレーションをセットアップするための追加設定は必要ありません。

事前統合された SAML アプリケーション: IAM アイデンティティセンターには、一般的に使用されるビジネスアプリケーションが事前統合されています。包括的なリストについては、IAM アイデンティティセンターコンソールを参照してください。

カスタム SAML アプリケーション: IAM アイデンティティセンターは、SAML 2.0 を使用した ID フェデレーションを許可するアプリケーションをサポートします。カスタムアプリケーションウィザードを使用して、IAM アイデンティティセンターのこれらのアプリケーションに対するサポートを有効化できます。

AWS Organizations を使用して管理されている任意の AWS アカウントを IAM アイデンティティセンターに追加できます。アカウントのシングルサインオンを管理するには、組織のすべての機能を有効にする必要があります。

組織内のアカウントを選択するか、OU でアカウントをフィルタリングできます。

信頼性の高い ID 伝播の主な用途は、ビジネスインテリジェンス (BI) アプリケーションで、ビジネスユーザーが必要とするデータを、Amazon Redshift や Amazon Quicksight などの AWS 分析サービスに、ユーザーの ID を認識したまま、顧客の既存の ID プロバイダーを通じて 1 回のユーザーサインインでクエリできるようにすることです。この機能は、一般的に使用されるさまざまなタイプの BI アプリケーションをサポートし、さまざまなメカニズムを使用してユーザーの ID をサービス間で伝達します。

アクセスを許可する際にアクセス権限の設定を選択することで、ユーザーのアクセス権限を制限できます。アクセス権限の設定は、IAM アイデンティティセンターで作成できるアクセス権限の集合です。職務機能の AWS 管理ポリシーや任意の AWS 管理ポリシーに基づいてモデリングされます。職務機能の AWS 管理ポリシーは、IT 業界の一般的な職務機能と密接に連携するように設計されています。必要に応じて、お客様のセキュリティ要件に合わせてアクセス権限の設定をカスタマイズできます。設定されたアクセス権限は、IAM アイデンティティセンターによって選択したアカウントに自動的に適用されます。アクセス権限の設定を変更すると、関連するアカウントへの変更内容の適用を IAM アイデンティティセンターによって簡単に実行できます。ユーザーが AWS アクセスポータルからアカウントにアクセスすると、設定されたアクセス権限によってユーザーがアカウント内で実行できる操作が制限されます。ユーザーに複数のアクセス権限の設定を割り当てることもできます。ユーザーポータルからアカウントにアクセスする際に、ユーザーはそのセッションで必要と考えられるアクセス権限の設定を選択できます。

IAM Identity Center には API と AWS CloudFormation サポートが用意されており、マルチアカウント環境での権限管理を自動化し、監査とガバナンスの目的でプログラムで権限を取得できます。

ABAC を実装するには、IAM アイデンティティセンターユーザー、および Microsoft AD、または Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、OneLogin、PingFederate などの外部 SAML 2.0 IdP から同期されたユーザーの IAM アイデンティティセンターの ID ストアから属性を選択できます。ID ソースとして IdP を使用する場合、オプションで SAML 2.0 アサーションの一部として属性を送信できます。

IAM Identity Center 管理者が割り当てた任意の AWS アカウントとユーザー権限の AWS CLI 認証情報を取得できます。これらの CLI 認証情報は AWS アカウントへのプログラムでのアクセスに対しても使用できます。

IAM アイデンティティセンターから取得された AWS CLI 認証情報は 60 分間有効です。新しい認証情報は何度でも得られます。

IAM アイデンティティセンターコンソールでアプリケーションペインに移動して [Configure new application] を選択し、IAM アイデンティティセンターと事前に統合されているクラウドアプリケーションのリストからアプリケーションを選択します。画面上の指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。

はい。アプリケーションが SAML 2.0 をサポートしている場合、アプリケーションをカスタム SAML 2.0 アプリケーションとして設定できます。IAM アイデンティティセンターコンソールでアプリケーションペインに移動して [Configure new application] を選択し、[Custom SAML 2.0 application] を選択します。指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。

いいえ。IAM アイデンティティセンターは SAML 2.0 ベースのアプリケーションのみをサポートします。

Trusted ID Propagation は OAuth 2.0 認証フレームワークに基づいて構築されています。これにより、アプリケーションは特定のユーザーの資格情報を共有することなく、特定のユーザーに代わってデータやその他のリソースにアクセスできます。IAM アイデンティティセンター のこの機能により、ユーザーのデータアクセス管理と監査が簡素化され、複数の AWS Analytics アプリケーションにわたる Analytics ユーザーのサインインエクスペリエンスが向上します。

いいえ。IAM アイデンティティセンターはウェブブラウザを通したビジネスアプリケーションへのシングルサインオンのみをサポートしています。

リソース管理者とデータベース管理者は、アセットへのアクセスをユーザーおよびグループのメンバーシップレベルで細かく定義できます。監査人は、相互に関連性があるビジネスインテリジェンスおよびデータ分析アプリケーション全体のユーザーアクションをレビューできます。ビジネスインテリジェンスアプリケーションのユーザーは、一度認証して AWS データソースにアクセスできます。信頼性の高い ID 伝播により、お客様は、Amazon Redshift、Amazon S3、Amazon Quicksight、Amazon Athena、AWS LakeFormation などの複数のアプリケーションと AWS のサービスにまたがる分析ワークフローのデータへの最小特権アクセスの要件を満たすのに役立ちます。 

IAM Identity Center には、ユーザーとグループの属性、どの AWS アカウントとアプリケーションがどのユーザーとグループに割り当てられているか、AWS アカウントにアクセスするためにどのような権限が付与されているかに関するメタデータが保存されます。また、IAM Identity Center は、ユーザーにアクセス権を付与する各権限セットについて、個々の AWS アカウントの IAM ロールを作成して管理します。

IAM アイデンティティセンターでは、すべての ID ソースのすべてのユーザーに対して標準ベースの強力な認証機能を有効にできます。サポートされている SAML 2.0 IdP をアイデンティティソースとして使用する場合、プロバイダの多要素認証機能を有効にできます。IAM アイデンティティセンターまたは Active Directory を ID ソースとして使用する場合、IAM アイデンティティセンターはウェブ認証仕様をサポートします。これにより、YubiKey などの FIDO 対応のセキュリティキーと、Apple MacBook の Touch ID や PC の顔認識などの組み込み生体認証機能を使用して AWS アカウントとビジネスアプリケーションへのユーザーアクセスを保護するのに役立ちます。Google Authenticator や Twilio Authy などの認証アプリを使用してワンタイムパスワード (TOTP) を有効にすることもできます。

IAM アイデンティティセンターおよび AWS Directory Services で既存のリモート認証ダイヤルインユーザーサービス (RADIUS) MFA 設定を使用して、ユーザーをセカンダリ認証形式として認証することもできます。IAM アイデンティティセンターで MFA を設定する方法の詳細については、IAM アイデンティティセンターユーザーガイドをご覧ください。

はい。IAM アイデンティティセンターの ID ストアと Active Directory のユーザー ID の場合、IAM アイデンティティセンターはウェブ認証 (WebAuthn) 仕様をサポートします。これにより、YubiKey などの FIDO 対応のセキュリティキーと、Apple MacBook の Touch ID や PC の顔認識などの組み込み生体認証機能を使用して AWS アカウントとビジネスアプリケーションへのユーザーアクセスを保護するのに役立ちます。Google Authenticator や Twilio Authy などの認証アプリを使用してワンタイムパスワード (TOTP) を有効にすることもできます。

従業員は、IAM アイデンティティセンターでアイデンティティソースを設定する時に生成されるアクセスポータルにアクセスすることで IAM アイデンティティセンターの使用を開始できます。IAM アイデンティティセンターでユーザーを管理する場合、従業員は IAM アイデンティティセンターで設定した E メールアドレスとパスワードを使用してユーザーポータルにサインインできます。IAM Identity Center を Microsoft Active Directory または SAML 2.0 ID プロバイダーに接続すると、従業員は既存の企業認証情報を使用してユーザーポータルにサインインし、割り当てられているアカウントとアプリケーションを表示できます。従業員がアカウントまたはアプリケーションにアクセスするには、アクセスポータルから関連するアイコンを選択します。

はい。IAM Identity Center には、マルチアカウント環境での権限管理を自動化し、監査とガバナンスの目的でプログラムで権限を取得するのに役立つアカウント割り当て API が用意されています。

IAM アイデンティティセンターは AWS キー管理サービス (KMS) と統合され、保存中のデータを暗号化します。デフォルトでは、IAM アイデンティティセンターは AWS が所有する KMS キーを使用してデータを暗号化します。暗号化キーの管理と使用を完全に制御して可視化したい場合は、独自の顧客管理型KMSキーを提供して、ユーザーやグループの属性などの ID データを暗号化できます。IAM Identity Center は、データを改ざんから保護するために保管中のデータにも署名します。

IAM アイデンティティセンターは TLS 1.2 と TLS 1.3 を使用して転送中のデータを暗号化します。