Database Support Blog

  • AWS
2024.08.26

AWS IAM Identity Centerとは?~概要と実装の方法を解説~



AWSのアカウント管理にお悩みの方はこちら

 アシストの「AWSマルチアカウント管理ソリューション」とは?

本記事では、AWS IAM Identity Center(旧AWS Single Sign-On)の概要や設定例を解説します。役割が似ているAWS Identity and Access Management(IAM)とどのような違いがあるのかも含めて解説します。

AWS IAM Identity Centerの概要

AWS IAM Identity Centerとは?

AWS IAM Identity Centerとは、AWSのIDアクセス管理サービスです。AWS IAM Identity Centerを利用することで、AWSアカウントやアプリケーションをアクセス先とするIDアクセス制御を一元的に管理できます。


AWS IAM Identity Centerの構成要素

AWS IAM Identity Centerの主な構成要素として以下があります。

①インスタンス

インスタンスは、AWS IAM Identity Centerの管理単位です。インスタンスには以下の2種類があります。


組織インスタンス

AWS Organizationsの管理アカウント上でのみ作成可能なインスタンスです。管理アカウント上で一つのみ、つまりAWS Organizations組織全体で一つのみ作成可能です。
組織インスタンスでは、AWSアカウントおよびアプリケーションに対するIDアクセス制御を行えます。


アカウントインスタンス

AWS Organizations内のメンバーアカウントでも作成可能なインスタンスです。メンバーアカウントごとに一つのみ作成可能です。
アカウントインスタンスではアプリケーションに対するIDアクセス制御のみが行えます。


一例として、以下のように各インスタンスを作成できます。

②ワークフォースユーザー

ワークフォースユーザーは、AWS IAM Identity CenterにおけるユーザーIDです。IAMでいう、IAMユーザーと同じ役割です。

ID情報の保管は以下のいずれかの選択肢があります。

・AWS IAM Identity Center

・SAML2.0準拠IdP

・Active Directory

参考:ID ソースを管理する
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/manage-your-identity-source.html


③権限セット

権限セットは、AWSアカウントにアクセスする時の認可の内容を定義するポリシーです。IAMでいう、IAMポリシーと同様の役割です。
よく使うものとして、AWS 職務機能に応じた権限セットが用意されています。様々なAWSサービスを自由に扱える管理者相当の権限を備えたものや、請求情報の確認を行えるBilling権限等、幅広く用意されています。

参考:許可セット
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/permissionsetsconcept.html


④アクセスターゲット

アクセスターゲットは、ワークフォースユーザーが最終的にアクセスする対象です。設定できる対象として以下の3つがあります。


AWSアカウント

AWSアカウントに対するアクセス管理を行えます。管理を行えるのは、同じAWS Organizations組織に属するAWSアカウントのみです。
参考:AWSアカウントへのアクセスの管理
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/manage-your-accounts.html


AWSマネージドアプリケーション

AWSマネージドの各種アプリケーションに対してアクセス管理を行えます。AWSマネージドアプリケーションの例としては、Amazon Q Business、Amazon Kendra、Amazon QuickSight、Amazon Redshift等があります。


カスタマーマネージドアプリケーション

SAML2.0をサポートする任意のアプリケーションに対してアクセス管理を行えます。


参考:アプリケーションへのアクセスの管理
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/manage-your-applications.html


利用メリット

AWS IAM Identity Centerを使うことで、以下のメリットが得られます。

1度の認証で、複数のAWSアカウント、AWS管理アプリケーション、カスタムアプリケーション等の複数の環境へアクセスすることができます。その1度の認証に、MFA等セキュリティ強度の高い認証方式を用いることで、認証のセキュリティ強化とアクセス管理の効率性を両立できます。

ポータル画面の例

認証を行うIDソースとしてSAML2.0準拠のIdPや、Active Directoryをサポートしています。そのため、既存のIDソースは維持したまま、AWSアカウントへのアクセス管理を効率的に行えるようになります。

参考:AWS IAM アイデンティティセンター
https://aws.amazon.com/jp/iam/identity-center/


ワークフォースユーザーとIAMのIDリソースとの違い

AWS IAM Identity Centerのワークフォースユーザーと同様に、AWS IAMでもIDアクセス管理におけるID管理を行えるリソースが存在します。それぞれの使い分けについてイメージをつかんでいただけるよう、違いを表形式で整理します。特に、認証対象とアクセス許可する対象を押さえると、用途の違いを理解しやすくなります。


AWS IDリソースごとの特徴

IDリソース 認証対象 アクセス許可する対象 連携可能なIdP
IAM Identity Center
ワークフォースユーザー
・企業内のAWS利用者(開発者、AWS管理者等)
・以下アプリケーションの利用者
 -AWSのSaaS系サービス
 -SAML2.0対応業務アプリケーション
・AWSサービス ・SAML2.0準拠IdP
・Active Directory
IAMユーザー ・企業内のAWS利用者(開発者、AWS管理者等) ・AWSサービス なし
IAMロール ・AWSサービス(EC2,Lambda等)
・外部IdPのID
・別のAWSアカウントのIDリソース
・AWSサービス ・SAML2.0準拠IdP
・OpenID Connect (OIDC)準拠IdP

ワークフォースユーザーの特徴的な点として、AWS利用者だけでなくアプリケーションの利用者も想定している点と、マルチアカウントでのAWSサービスのアクセス許可を行える点があります。


AWS IAM Identity Centerの設定例

本章では、AWS IAM Identity Centerの設定例をご案内します。

設定の全体像

まず、前述した各構成要素に沿って、設定内容の全体像を示します。

①インスタンス

組織インスタンスを有効化します。


②ワークフォースユーザー

AWS IAM Identity CenterをIDソースとして構成します。


③権限セット

管理者相当の権限を持つ権限セットを設定します。


④アクセスターゲット

AWSアカウントをアクセスターゲットとします。AWS Organizations内のメンバーアカウントを対象としてアクセス許可設定を行います。


設定例

1.インスタンスの有効化

AWS IAM Identity Centerの管理単位となる「インスタンス」をセットアップします。


1.1 AWS IAM Identity Centerのコンソールにアクセスし、「有効にする」をクリックします。

※IAM Identity Centerの管理権限を持つIAMにログインして操作しています。(ここではAdministrator権限)


1.2 インスタンスが正常に作成されたことを確認します。


2.ワークフォースユーザーの作成

AWS IAM Identity Centerのユーザーにあたるワークフォースユーザーを作成します。


2.1 サイドバーの「ユーザー」-「ユーザーを追加」の順にクリックします。


2.2 以下項目にそれぞれ入力し、「次へ」をクリックします。

ユーザー名:任意のユーザー名 ※ここで指定したユーザー名は、サインイン時の入力情報になります。

パスワード:任意のパスワード受け取り方式

Eメールアドレス:ユーザーのEメールアドレス

名:ユーザーの名前

性:ユーザーの苗字

表示名:ユーザーのフルネーム



2.3 その他はデフォルトの設定で、「ユーザーを追加」をクリックします。


2.4 ユーザーが正常に追加されたことを確認します。


3. ユーザーの初回認証(サインアップ)

3.1 「2.2」で入力したメールアドレス宛に、「Invitation to join AWS IAM Identity Center」という件名の招待メールが届きます。メールを開き「Accept Invitation」をクリックします。


3.2 サインアップ画面に遷移します。任意の新規パスワードを入力し「新しいパスワードを設定」をクリックします。


3.3 ユーザーが正常に作成されたことを確認します。


3.4 その後、サインイン画面に遷移します。「2.2」で指定したユーザー名を入力します。


3.5 「3.2」で設定したパスワードを入力します。


3.6 MFAデバイスの登録を行います。ここでは「認証アプリ」を選択して「Next」をクリックします。


3.7 QRコードを表示させ、任意の仮想MFAアプリケーションで読み取ります。そこで表示される6桁のワンタイムパスワードを入力します。


3.8 認証アプリの登録が完了したことを確認し、「完了」をクリックします。


3.9 ポータルが表示されます。この時点では、認証だけ行われている状態です。ワークフォースユーザーに対して認可の設定を全く行っていないため、アクセス可能な環境が表示されません。


4.許可セットの作成

認可対象の中での操作権限を設定する許可セットを作成します。


4.1 再びAWS IAM Identity Centerコンソールに戻ります。サイドバーの「許可セット」-「許可セットを作成」の順にクリックします。


4.2 「事前定義された許可セット」を選択します。


4.3「事前定義された許可セットのポリシー」にて「AdministratorAccess」を選択します。
※AdministratorAccessは、IAMポリシーの「Administrator」と同様に強力な権限を持ちます。本番利用予定の環境での設定時はご注意ください。


4.4 以下項目に入力し、「次へ」をクリックします。

許可セット名:任意の許可セット名

セッション期間:1時間


4.5 入力内容を確認し、「作成」をクリックします。


4.6 許可セットが作成されたことを確認します。

※この時点では「プロビジョンされたステータス」は「プロビジョンされていません」という表示で問題ありません。許可セットを指定して、AWSアカウント等のアクセス対象への認可設定を完了した後に「プロビジョン済み」となります。


5.AWSアカウントの割り当て

ワークフォースユーザーに対して、具体的なAWSアカウントへのアクセス許可を行います。認可を実施するステップと言えます。


5.1 サイドバーの「AWSアカウント」をクリック-認可設定を行いたいAWSアカウントにチェック-「ユーザーまたはグループを割り当て」の順にクリックします。



5.2 先ほど作成した許可セット「AdministratorAccess」をチェックし「次へ」をクリックします。


5.3 問題ないことを確認し、「送信」をクリックします。


5.4 AWSアカウントに対し、許可セットが適用されたことを確認します。


6.ポータルからのアクセス確認

AWS IAM Identity CenterのポータルからAWSアカウントへのアクセス確認を実施します。

6.1 「3.9」でアクセスしたポータルをF5キーを押下して更新します。その後、許可セットを用いて設定したAWSアカウントが表示されていることを確認し、「AdministraotrAccess」をクリックします。


6.2 ユーザー「Ichiro」でマネジメントコンソールにアクセスできることを確認します。

以上で手順は終了です。


AWS IAM Identity Centerの料金

AWS IAM Identity Centerの利用は完全無料です。

参考:AWS IAM アイデンティティセンターの基本料金はいくらですか?
https://repost.aws/ja/questions/QUE7_4QXlASB6EdLXYja3kFg


最後に

ここまでで、AWS IAM Identity Centerの概要、利用メリット、設定例、料金について解説しました。

本記事を通して、AWS IAM Identity Centerの基本を理解し、より安全で効率的なID・アクセス管理の実現につなげていただければ幸いです。

なお、弊社でも、AWS IAM Identity Centerのレクチャ―などを含んだ支援を提供しております。AWS利用におけるIDアクセス管理の設計にお悩みの方はぜひご相談ください。


AWSのアカウント管理にお悩みの方はこちら

 アシストの「AWSマルチアカウント管理ソリューション」とは?

執筆者情報

さかもと ゆういち プロフィール画像

2017年入社。DWH製品のサポート業務に従事し、2020年頃からクラウド分野を担当。AWS関連の提案活動から技術支援、セミナー登壇等幅広く対応。それらの活動が認められ、 2021年にアシストで初めて「APN AWS Top Engineers」 に選出される。週末は「雰囲気がいいから」という理由で購入したレコードプレーヤーで音楽を聞くが、音質の違いは一切わからない。...show more


■本記事の内容について
 本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
 ・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
 ・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
  文中の社名、商品名等は各社の商標または登録商標である場合があります。

関連している記事

  • AWS
2024.07.12

AWS Direct Connectとは?~概要と実装の方法を解説~

AWSの活用が進んでいる昨今、AWSとオンプレミス間の通信をセキュアに接続を確立することが求められています。AWS Direct Connectを利用することで、セキュアで安定した品質のプライベート通信を確立できます。本記事では概要から設定の例まで解説します。

  • Oracle Database
  • Oracle Cloud
  • AWS
2024.07.09

Oracle Databaseライセンスの定義とルールを正しく理解する ~第4回:クラウド編~

今回はOracle Databaseライセンス「クラウド環境編」です。これまでエディション、ライセンスの種類、カウントの方法、という基本的な部分と、構成面の理解として仮想化環境の考え方をご紹介してきました。今回はクラウド環境におけるOracle Databaseライセンスの定義やルールを解説します。

  • Oracle Cloud
  • AWS
2024.06.18

AWSとOCIを接続してみよう!

ビジネスインフラ環境を様々な形態で運用されている昨今、クラウドもその選択肢のひとつです。各社クラウドの特性を活かすために複数のクラウドを利用されているお客様も多くなってきました。今回は2つのクラウド(OCIとAWS)を閉域接続する構成をどのように構築するのかを紹介します。

ページの先頭へ戻る