セキュリティ

AWS IAM Identity Center で実現するシングルサインオン - マルチアカウントアクセス管理

マルチアカウント環境のシングルサインオンを実現し、権限セットで各アカウントへのアクセスレベルを制御する。外部 IdP との統合と ABAC の活用を紹介します。

約 1 分で読めます

IAM Identity Center の概要

IAM Identity Center (旧 AWS SSO) はマルチアカウント環境のシングルサインオンとアクセス管理を一元化するサービスです。ユーザーは AWS アクセスポータルにログインし、割り当てられた AWS アカウントとアプリケーションにワンクリックでアクセスします。アカウントごとに IAM ユーザーを作成する必要がなくなります。

権限セットと IdP 統合

権限セットは IAM ポリシーのコレクションで、AdministratorAccess、ReadOnlyAccess などの AWS マネージドポリシーやカスタムポリシーを含めます。権限セットをユーザー/グループとアカウントの組み合わせに割り当てると、そのユーザーがアカウントにアクセスした際に対応する IAM ロールが自動作成されます。外部 IdP との統合では SAML 2.0 で認証を委任し、SCIM でユーザーとグループの自動プロビジョニングを実行します。Okta でユーザーを追加すると、IAM Identity Center にも自動的に反映されます。

ABAC とセッション管理

IAM Identity Center は属性ベースのアクセス制御 (ABAC) をサポートし、ユーザー属性 (部門、役職、プロジェクト) に基づいてアクセス権限を動的に付与します。 IdP から渡される SAML 属性を IAM セッションタグにマッピングし、リソースタグとの一致でアクセスを制御します。セッション時間はアプリケーションごとに設定でき、高セキュリティ環境では短いセッション (1 時間) を、開発環境では長いセッション (12 時間) を設定します。 AWS アクセスポータルからワンクリックでマネジメントコンソールや CLI にアクセスでき、アカウントの切り替えが容易です。 SSO 認証の実践的な知識を深めるには、専門書籍 (Amazon)が役立ちます。

IAM Identity Center の料金

IAM Identity Center は無料で利用できます。ユーザー数、グループ数、SSO セッション数に対する追加料金は発生しません。外部 IdP (Okta、Azure AD、Google Workspace) との SAML/SCIM 統合も無料です。コストは Identity Center が管理する AWS アカウントやアプリケーションの利用料金に依存します。Organizations の全アカウントで IAM Identity Center を有効化し、IAM ユーザーの直接作成を廃止することで、セキュリティと運用効率を同時に向上させます。

まとめ

IAM Identity Center はマルチアカウント環境の SSO とアクセス管理を無料で一元化するサービスです。権限セットで AWS マネージドポリシーとカスタムポリシーを組み合わせたアクセス権限を定義し、外部 IdP との SAML/SCIM 統合でユーザーの一元管理を実現します。ABAC でユーザー属性に基づく動的な権限付与を行い、AWS アクセスポータルからワンクリックでアカウントを切り替えます。

関連するサービス

AWS IAM Identity Center複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービスAWS Organizations複数の AWS アカウントを一元管理するサービスAmazon CognitoWeb ・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス

関連する記事

AWS Organizations で実現するマルチアカウント管理 - OU 設計と SCP によるガバナンスOU 階層の設計と SCP によるアクセス制御でマルチアカウント環境のガバナンスを確立する。一括請求によるコスト管理も紹介します。AWS Control Tower でマルチアカウント環境を構築 - ランディングゾーンとガードレールベストプラクティスに基づくマルチアカウント環境を自動構築し、400 以上のガードレールでコンプライアンスを継続的に維持する。Account Factory と Customizations for Control Tower による拡張手法を解説します。AWS Amplify で始めるフルスタック Web アプリ開発 - Git 連携デプロイとバックエンド構築GitHub 連携でブランチごとの自動デプロイ環境を構築し、Backend Gen 2 で認証・API・ストレージを TypeScript で定義する。Next.js の SSR にも対応します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。AWS IAM Identity CenterAWS Organizations と統合されたシングルサインオン (SSO) サービスで、複数の AWS アカウントと業務アプリケーションへのアクセスを一元管理するID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。AWS IAMAWS リソースへのアクセスを安全に制御するための認証・認可サービスで、ユーザー、グループ、ロール、ポリシーによるきめ細かなアクセス管理を提供する