AWS IAM Identity Center のアイコン

AWS IAM Identity Center

複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス

約 1 分で読めます

何ができるか

AWS IAM Identity Center (旧 AWS SSO) は、複数の AWS アカウントやビジネスアプリケーションへのシングルサインオン (SSO) を提供するサービスです。1 回のログインで複数のアカウントやアプリケーションにアクセスでき、ユーザーとアクセス権限を一元管理できます。

どのような場面で使うか

マルチアカウント環境での開発者のアクセス管理、SaaS アプリケーション (Salesforce、Microsoft 365 など) への SSO、外部 IdP (Okta、Azure AD) との連携、一時的な認証情報の発行に利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

社員証 1 枚で全フロアに入れるオフィスビルに例えられます。各フロア (アカウント) ごとに別の鍵を持つ代わりに、社員証 (SSO) 1 つで許可されたフロアすべてにアクセスできます。

IAM Identity Center とは

この記事は約 2 分で読めます。 AWS IAM Identity Center は、AWS のマルチアカウント環境におけるアクセス管理の中核サービスです。ユーザーポータルから割り当てられた AWS アカウントやアプリケーションに SSO でアクセスできます。AWS CLI v2 との統合により、コマンドラインからも SSO 認証が利用可能です。

許可セットと ID ソース

許可セット (Permission Set) は、ユーザーに付与する IAM ポリシーのテンプレートです。許可セットをユーザーまたはグループに割り当て、対象のアカウントを指定します。ID ソースは Identity Center の内蔵ディレクトリ、Active Directory、外部 IdP (SAML 2.0) から選択できます。

はじめかた

IAM Identity Center コンソールで有効化し、ID ソースを選択します。ユーザーとグループを作成し、許可セットを定義して AWS アカウントに割り当てます。ユーザーはポータル URL からログインし、割り当てられたアカウントのマネジメントコンソールや CLI にアクセスできます。

Azure・オンプレミスとの比較

Azure の対応サービス Microsoft Entra ID (旧 Azure AD)
オンプレミスでの対応手段 Okta、OneLogin、Active Directory Federation Services

AWS の優位点

  • AWS Organizations と統合し、マルチアカウント環境のアクセス管理を一元化。IAM Identity Center 自体は無料
  • 許可セットで IAM ポリシーをテンプレート化し、複数アカウントへの一括適用が可能
  • AWS CLI v2 との統合で、コマンドラインからも SSO 認証を利用でき、長期的な IAM アクセスキーが不要

注意点

  • IAM Identity Center は AWS Organizations の有効化が前提。単一アカウントでは利用できない
  • IAM Identity Center 自体は無料。外部 IdP との連携にはその IdP の料金が別途発生する場合がある

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス