AWS IAM Identity Center のアイコン

AWS IAM Identity Center 基本

複数の AWS アカウントやビジネスアプリケーションへのシングルサインオンを提供するサービス

約 1 分で読めます

何ができるか

AWS IAM Identity Center (旧 AWS SSO) は、複数の AWS アカウントやサードパーティのビジネスアプリケーションに対するシングルサインオン (SSO) アクセスを一元管理するサービスです。ユーザーは 1 回のログインで、割り当てられたすべての AWS アカウントやアプリケーションにアクセスできます。Active Directory や外部 IdP (Okta、Azure AD など) との連携にも対応しています。

どのような場面で使うか

AWS Organizations で管理する複数アカウントへの統一的なアクセス管理、社内の Active Directory と AWS 環境の ID 連携、開発者ごとに異なる AWS アカウントへのアクセス権限の割り当て、Salesforce や Microsoft 365 などのビジネスアプリケーションとの SSO 統合などに活用されています。

身近な例え

会社のマスターキーカードに例えるとわかりやすいでしょう。1 枚のカード (1 回のログイン) で、自分に許可されたすべてのオフィスや会議室 (AWS アカウントやアプリケーション) に入れます。管理者は中央のシステムで誰がどの部屋に入れるかを一括管理できます。

AWS IAM Identity Center とは

AWS IAM Identity Center は、AWS 環境における ID とアクセスの一元管理を実現するサービスです。AWS Organizations と統合して動作し、組織内の複数の AWS アカウントに対するユーザーアクセスを中央で管理します。従来は各アカウントに IAM ユーザーを個別に作成する必要がありましたが、Identity Center を使えばユーザーを 1 か所で管理し、必要なアカウントへのアクセス権限を割り当てるだけで済みます。

アクセス許可セットとアカウント割り当て

Identity Center では「アクセス許可セット」を作成して、ユーザーに付与する権限を定義します。アクセス許可セットは IAM ポリシーをベースにしており、AWS 管理ポリシー (AdministratorAccess、ReadOnlyAccess など) やカスタムポリシーを組み合わせて構成します。作成したアクセス許可セットをユーザーまたはグループと AWS アカウントの組み合わせに割り当てることで、「誰が」「どのアカウントで」「何ができるか」を制御します。

ID ソースと外部 IdP 連携

Identity Center のユーザー管理には 3 つの方法があります。Identity Center 自体の内蔵ディレクトリを使う方法、AWS Managed Microsoft AD や AD Connector 経由で既存の Active Directory と連携する方法、SAML 2.0 対応の外部 IdP (Okta、Azure AD、Google Workspace など) と連携する方法です。外部 IdP と連携する場合、SCIM プロトコルによるユーザー・グループの自動プロビジョニングにも対応しており、IdP 側でのユーザー追加・削除が自動的に Identity Center に反映されます。

注意点

  • Identity Center 自体は無料で利用できる。追加料金は発生しない
  • AWS Organizations が有効化されていることが前提。単独の AWS アカウントでも利用可能だが、マルチアカウント環境で最大の効果を発揮する
  • 旧名称は AWS SSO であり、API やドキュメントの一部に旧名称が残っている場合がある。CLI のサービス名も sso のまま

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 専門 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager 専門 SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact 専門 AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS Audit Manager のアイコン AWS Audit Manager 専門 コンプライアンス監査のエビデンス収集と評価を自動化するサービス AWS Certificate Manager のアイコン AWS Certificate Manager 基本 SSL/TLS 証明書のプロビジョニング・管理・更新を自動化するサービス AWS CloudHSM のアイコン AWS CloudHSM 専門 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito 人気 Web ・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective 専門 セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service 専門 AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager 専門 AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 人気 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM 定番 AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 人気 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector 人気 EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS 定番 データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie 専門 S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall 専門 VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 専門 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority 専門 プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager 専門 AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager 定番 データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub 人気 AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake 新サービス セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield 専門 DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer 専門 コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions 新サービス Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF 人気 Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス