セキュリティ

AWS IAM Identity Center

AWS Organizations と統合されたシングルサインオン (SSO) サービスで、複数の AWS アカウントと業務アプリケーションへのアクセスを一元管理する

約 2 分で読めます

概要

AWS IAM Identity Center (旧 AWS SSO) は、複数の AWS アカウントやビジネスアプリケーションへのシングルサインオンを提供するサービスです。アクセス許可セット (Permission Set) により、ユーザーやグループに対して各アカウントでの権限を宣言的に定義でき、Organizations の組織構造と連動した大規模なアクセス管理を実現します。SAML 2.0 や SCIM に対応した外部 IdP (Okta、Azure AD、Google Workspace など) との連携により、既存の ID 基盤を活かしたフェデレーション認証が可能です。

IAM ユーザーの限界と Identity Center が解決するマルチアカウント認証の課題

AWS を本格的に運用すると、環境分離やセキュリティ境界のためにアカウントが増えていきます。各アカウントに IAM ユーザーを作成する方式では、アカウント数 × ユーザー数の認証情報を管理する必要があり、パスワードの定期変更やアクセスキーのローテーションが運用上の大きな負担になります。退職者のアカウント削除漏れはセキュリティインシデントの温床です。IAM Identity Center はこの問題を根本的に解決します。ユーザーは 1 つの認証情報でポータル画面にログインし、割り当てられた AWS アカウントとロールの一覧から選択するだけで、一時的な認証情報を使ってマネジメントコンソールや CLI にアクセスできます。長期的なアクセスキーが不要になるため、認証情報の漏洩リスクが大幅に低下します。Azure AD (Microsoft Entra ID) を既に導入している組織では、SCIM プロビジョニングでユーザーとグループを自動同期し、Azure AD 側でのアカウント無効化が即座に AWS へのアクセス遮断に反映される構成が推奨されます。

アクセス許可セットの設計戦略と最小権限の実践

アクセス許可セット (Permission Set) は、Identity Center の権限管理の中核概念です。1 つのアクセス許可セットは IAM ポリシーの集合であり、ユーザーやグループに対して「どのアカウントで」「どの権限を」持つかを定義します。たとえば「ReadOnlyAccess」という許可セットを全アカウントの監査チームに割り当て、「AdministratorAccess」は本番アカウントの SRE チームだけに限定するといった設計が可能です。AWS マネージドポリシーをそのまま使う方法と、カスタムポリシーを JSON で定義する方法があり、実務では両者を組み合わせます。セッション時間はアクセス許可セットごとに 1 時間から 12 時間の範囲で設定でき、本番環境は短く (1-2 時間)、開発環境は長め (8 時間) にするのが一般的です。AWS セキュリティの関連書籍 (Amazon) では、マルチアカウント環境での権限設計パターンが詳しく解説されています。Permission Boundary と組み合わせることで、許可セットで付与された権限の上限を組織レベルで制御する多層防御も実現できます。

CLI・SDK 連携と開発者体験の最適化

Identity Center は AWS CLI v2 とネイティブに統合されており、aws configure sso コマンドで SSO プロファイルを設定すると、ブラウザ認証を経て一時的な認証情報が自動的に取得されます。~/.aws/config に SSO プロファイルを定義しておけば、--profile オプションで切り替えるだけで複数アカウントを横断的に操作でき、アクセスキーを .env ファイルに書く必要がなくなります。Terraform や CDK などの IaC ツールも SSO プロファイルを認識するため、インフラコードの実行時にも同じ認証フローが使えます。Organizations との統合では、委任管理者 (Delegated Administrator) 機能を使って管理アカウント以外のアカウントから Identity Center を運用することが推奨されています。管理アカウントへのアクセスを最小限に抑えつつ、セキュリティチームが専用アカウントから ID 管理を行う体制が、大規模組織でのベストプラクティスです。ABAC (属性ベースのアクセス制御) にも対応しており、ユーザー属性 (部署、プロジェクト名など) をセッションタグとして伝播させ、リソースタグとの照合で動的にアクセスを制御する高度な設計も可能です。

共有するXB!

関連する用語

AWS IAMAWS OrganizationsAmazon CognitoAWS Control TowerAmazon GuardDuty

関連するサービス

AWS OrganizationsAWS IAMAWS Control TowerAWS CloudTrail

関連する記事

マルチアカウント戦略と AWS Organizations - クラウドガバナンスの最適解Organizations の OU 階層設計と SCP によるガバナンス制御で、セキュリティ境界の確立とコスト配分の最適化を実現する。Control Tower のガードレールと統合請求によるマルチアカウント運用の全体像を解説します。IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。AWS Control Tower でマルチアカウント環境を構築 - ランディングゾーンとガードレールベストプラクティスに基づくマルチアカウント環境を自動構築し、400 以上のガードレールでコンプライアンスを継続的に維持する。Account Factory と Customizations for Control Tower による拡張手法を解説します。

内容が近い用語・記事

AWS IAM Identity Center複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービスSSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。AWS IAM Identity Center で実現するシングルサインオン - マルチアカウントアクセス管理マルチアカウント環境のシングルサインオンを実現し、権限セットで各アカウントへのアクセスレベルを制御する。外部 IdP との統合と ABAC の活用を紹介します。ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。