AWS IAM アイデンティティセンターに関するよくある質問
アイデンティティソースとアプリケーションのサポート
IAM アイデンティティセンターへの移行は一度にする必要がありますか、それとも段階的に移行できますか?
IAM アイデンティティセンターを有効にした後も、すべての既存の IAM ロールまたはユーザーはこれまで通り機能します。これは、AWS への既存のアクセスを中断することなく、段階的に IAM アイデンティティセンターに移行できるということを意味します。
既存のロールを IAM アイデンティティセンターに移行するにはどうすればよいですか?
IAM アイデンティティセンターは、AWS アカウント内で使用する新しいロールをプロビジョニングします。既存の IAM ロールで使用しているのと同じポリシーを、IAM アイデンティティセンターで使用される新しいロールにアタッチできます。
IAM アイデンティティセンターは AWS アカウントに IAM ユーザーとグループを作成しますか?
IAM アイデンティティセンターは IAM ユーザーとグループを作成しません。ユーザー情報を保持するための専用の ID ストアがあります。外部 ID プロバイダーを使用する場合、アイデンティティセンターはユーザー属性とグループメンバーシップの同期されたコピーを保持しますが、パスワードや MFA デバイスなどの認証情報は保持しません。外部 ID プロバイダーは、引き続きユーザー情報と属性の信頼できる情報源となります。
IAM アイデンティティセンターにアイデンティティ同期を自動化できますか?
はい。Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、OneLogin、PingFederate のいずれかを使用している場合、SCIM を使用してユーザーおよびグループの情報を IdP から IAM アイデンティティセンターに自動的に同期できます。詳しくは、「IAM アイデンティティセンターユーザーガイド」をご覧ください。
IAM アイデンティティセンターを Microsoft Active Directory に接続するにはどうすればよいですか?
IAM アイデンティティセンターは、AWS Directory Service を使ってオンプレミスの Active Directory (AD) または AWS Managed Microsoft AD ディレクトリに接続できます。詳しくは、「IAM アイデンティティセンターユーザーガイド」をご覧ください。
オンプレミスの Active Directory でユーザーとグループを管理しています。IAM アイデンティティセンターでこれらのユーザーとグループを利用するにはどうすればよいですか?
オンプレミスでホストされている Active Directory を IAM アイデンティティセンターに接続するためのオプションには、(1) AD Connector を使用する、または (2) AWS Managed Microsoft AD の信頼関係を使用する 2 つのオプションがあります。 AD Connector は単に、既存のオンプレミス Active Directory を AWS に接続します。AD Connector はディレクトリゲートウェイで、クラウドに情報をキャッシュすることなく、ディレクトリリクエストをオンプレミスの Microsoft Active Directory にリダイレクトすることができます。AD Connector を使ったオンプレミスディレクトリの接続については、「AWS Directory Service 管理ガイド」を参照してください。 AWS Managed Microsoft AD は AWS での Microsoft Active Directory のセットアップと実行を容易にします。これは、オンプレミスディレクトリと AWS Managed Microsoft AD 間のフォレスト信頼関係をセットアップするために使用できます。信頼関係のセットアップについては、「AWS Directory Service 管理ガイド」を参照してください。
IAM アイデンティティセンターでは、Amazon Cognito ユーザープールをアイデンティティソースとして使用することはできますか?
Amazon Cognito は、お客様向けアプリケーションのアイデンティティの管理に役立つサービスであり、IAM アイデンティティセンターでサポートされるアイデンティティソースではありません。ワークフォースアイデンティティは、IAM アイデンティティセンター、または Microsoft Active Directory、Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、その他のサポートされている IdP などの外部アイデンティティソースで作成、管理できます。
IAM アイデンティティセンターは、ブラウザコマンドラインおよびモバイルのインターフェイスをサポートしますか?
はい。IAM アイデンティティセンターを使って AWS マネジメントコンソールと CLI v2 へのアクセスを制御できます。IAM アイデンティティセンターは、ユーザーがシングルサインオンエクスペリエンスを通じて CLI および AWS マネジメントコンソールにアクセスできるようにします。AWS Mobile Console アプリケーションも IAM アイデンティティセンターをサポートしているため、ブラウザ、モバイル、およびコマンドラインのインターフェイス全体で一貫的なサインインエクスペリエンスを実現できます。
IAM アイデンティティセンターにはどのクラウドアプリケーションを接続できますか?
IAM アイデンティティセンターには以下のアプリケーションを接続できます。
IAM アイデンティティセンター統合アプリケーション: SageMaker Studio および IoT SiteWise などの IAM アイデンティティセンター統合アプリケーションは、認証に IAM アイデンティティセンターを使用し、IAM アイデンティティセンターにあるアイデンティティで機能します。これらのアプリケーションにアイデンティティを同期化する、または個別にフェデレーションをセットアップするための追加設定は必要ありません。
事前統合された SAML アプリケーション: IAM アイデンティティセンターには、一般的に使用されるビジネスアプリケーションが事前統合されています。包括的なリストについては、IAM アイデンティティセンターコンソールを参照してください。
カスタム SAML アプリケーション: IAM アイデンティティセンターは、SAML 2.0 を使用した ID フェデレーションを許可するアプリケーションをサポートします。カスタムアプリケーションウィザードを使用して、IAM アイデンティティセンターのこれらのアプリケーションに対するサポートを有効化できます。
AWS アカウントへのシングルサインオンアクセス
IAM アイデンティティセンターへの接続にはどの AWS アカウントを使用できますか?
AWS Organizations を使用して管理されている AWS アカウントであれば、どのアカウントでも IAM アイデンティティセンターに追加できます。アカウントのシングルサインオンを管理するには、組織内のすべての機能を有効にする必要があります。
組織内の組織単位 (OU) にある AWS アカウントにシングルサインオンを設定するにはどうすればよいですか?
組織内のアカウントを選択するか、OU でアカウントをフィルタリングできます。
信頼性の高い ID 伝播とは何ですか?
信頼性の高い ID 伝播は、OAuth 2.0 認証フレームワークに基づいて構築されています。これにより、アプリケーションは、特定のユーザーの認証情報を共有することなく、そのユーザーに代わってデータやその他のリソースにアクセスできます。IAM アイデンティティセンター のこの機能により、ユーザーのデータアクセス管理と監査が簡素化され、複数の AWS Analytics アプリケーションにわたる Analytics ユーザーのサインインエクスペリエンスが向上します。
信頼性の高い ID 伝播を使用しなくてはならない理由は?
リソース管理者とデータベース管理者は、アセットへのアクセスをユーザーおよびグループのメンバーシップレベルで細かく定義できます。監査人は、相互に関連性があるビジネスインテリジェンスおよびデータ分析アプリケーション全体のユーザーアクションをレビューできます。ビジネスインテリジェンスアプリケーションのユーザーは、一度認証して AWS データソースにアクセスできます。信頼性の高い ID 伝播により、お客様は、Amazon Redshift、Amazon S3、Amazon Quicksight、Amazon Athena、AWS LakeFormation などの複数のアプリケーションと AWS のサービスにまたがる分析ワークフローのデータへの最小特権アクセスの要件を満たすのに役立ちます。
信頼性の高い ID 伝播の一般的なユースケースにはどのようなものがありますか?
信頼性の高い ID 伝播の主な用途は、ビジネスインテリジェンス (BI) アプリケーションで、ビジネスユーザーが必要とするデータを、Amazon Redshift や Amazon Quicksight などの AWS 分析サービスに、ユーザーの ID を認識したまま、顧客の既存の ID プロバイダーを通じて 1 回のユーザーサインインでクエリできるようにすることです。この機能は、一般的に使用されるさまざまなタイプの BI アプリケーションをサポートし、さまざまなメカニズムを使用してユーザーの ID をサービス間で伝達します。
ユーザーが IAM アイデンティティセンターを使用してアカウントにアクセスする際に付与されるアクセス権限を制御するにはどうすればよいですか?
アクセスを許可する際にアクセス権限の設定を選択することで、ユーザーのアクセス権限を制限できます。アクセス権限の設定は、IAM アイデンティティセンターで作成できるアクセス権限の集合です。職務機能の AWS 管理ポリシーや任意の AWS 管理ポリシーに基づいてモデリングされます。職務機能の AWS 管理ポリシーは、IT 業界の一般的な職務機能と密接に連携するように設計されています。必要に応じて、お客様のセキュリティ要件に合わせてアクセス権限の設定をカスタマイズできます。設定されたアクセス権限は、IAM アイデンティティセンターによって選択したアカウントに自動的に適用されます。アクセス権限の設定を変更すると、関連するアカウントへの変更内容の適用を IAM アイデンティティセンターによって簡単に実行できます。ユーザーが AWS アクセスポータルからアカウントにアクセスすると、設定されたアクセス権限によってユーザーがアカウント内で実行できる操作が制限されます。ユーザーに複数のアクセス権限の設定を割り当てることもできます。ユーザーポータルからアカウントにアクセスする際に、ユーザーはそのセッションで必要と考えられるアクセス権限の設定を選択できます。
複数のアカウント間でアクセス許可の管理を自動化するには、どうしたらよいですか?
IAM アイデンティティセンターでは、複数アカウント環境で権限管理を自動化し、監査とガバナンスのためにプログラムによってアクセス許可を取得することをサポートする API および AWS CloudFormation が提供されます。
ABAC に使用するユーザー属性を選択するにはどうすればよいですか?
ABAC を実装するには、IAM アイデンティティセンターユーザー、および Microsoft AD、または Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、OneLogin、PingFederate などの外部 SAML 2.0 IdP から同期されたユーザーの IAM アイデンティティセンターの ID ストアから属性を選択できます。ID ソースとして IdP を使用する場合、オプションで SAML 2.0 アサーションの一部として属性を送信できます。
AWS CLI 認証情報が得られるのは、どの AWS アカウントに対してですか?
ご自身の IAM アイデンティティセンター管理者が割り当てたどのような AWS アカウントとユーザーアクセス権限に対しても AWS CLI 認証情報が得られます。これらの CLI 認証情報は AWS アカウントへのプログラムでのアクセスに対しても使用できます。
AWS アクセスポータルからの AWS CLI 認証情報の有効期限はどれぐらいありますか?
IAM アイデンティティセンターから得た AWS CLI 認証情報は 60 分間有効です。新しい認証情報は何度でも得られます。
ビジネスアプリケーションへのシングルサインオンアクセス
Salesforce などのビジネスアプリケーションに IAM アイデンティティセンターを設定するにはどうすればよいですか?
IAM アイデンティティセンターコンソールでアプリケーションペインに移動して [Configure new application] を選択し、IAM アイデンティティセンターと事前に統合されているクラウドアプリケーションのリストからアプリケーションを選択します。画面上の指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。
会社で使用しているビジネスアプリケーションは、IAM アイデンティティセンターと事前に統合されたアプリケーションではありません。IAM アイデンティティセンターを引き続き使用できますか?
はい。お使いのアプリケーションで SAML 2.0 がサポートされている場合、カスタム SAML 2.0 アプリケーションとして設定できます。IAM アイデンティティセンターコンソールでアプリケーションペインに移動して [Configure new application] を選択し、[Custom SAML 2.0 application] を選択します。指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。
使用しているアプリケーションでは OpenID Connect (OIDC) のみがサポートされています。IAM アイデンティティセンターと併用できますか?
いいえ。IAM アイデンティティセンターでは、SAML 2.0 ベースのアプリケーションのみをサポートしています。
IAM アイデンティティセンターはネイティブなモバイル、デスクトップアプリケーションへのシングルサインオンをサポートしていますか?
いいえ。IAM アイデンティティセンターはウェブブラウザを通したビジネスアプリケーションへのシングルサインオンのみをサポートしています。
その他
IAM アイデンティティセンターは、私に代わってどのようなデータを保存しますか?
IAM アイデンティティセンターで保存されるデータには、どの AWS アカウントとクラウドアプリケーションがどのユーザーとグループに割り当てられているか、AWS アカウントへのアクセスにどのようなアクセス権限が付与されているかなどの情報があります。また、IAM アイデンティティセンターでは、ユーザーにアクセスを許可する権限の設定ごとに各 AWS アカウントで IAM ロールを作成し、管理します。
IAM アイデンティティセンターで使用できる多要素認証 (MFA) 機能は何ですか?
IAM アイデンティティセンターでは、すべての ID ソースのすべてのユーザーに対して標準ベースの強力な認証機能を有効にできます。サポート対象の SAML 2.0 IdP を ID ソースとして使用する場合は、プロバイダーの多要素認証機能を有効にできます。IAM アイデンティティセンターまたは Active Directory を ID ソースとして使用する場合、IAM アイデンティティセンターはウェブ認証仕様をサポートします。これにより、YubiKey などの FIDO 対応のセキュリティキーと、Apple MacBook の Touch ID や PC の顔認識などの組み込み生体認証機能を使用して AWS アカウントとビジネスアプリケーションへのユーザーアクセスを保護するのに役立ちます。Google Authenticator や Twilio Authy などの認証アプリを使用してワンタイムパスワード (TOTP) を有効にすることもできます。
IAM アイデンティティセンターおよび AWS Directory Services で既存のリモート認証ダイヤルインユーザーサービス (RADIUS) MFA 設定を使用して、ユーザーをセカンダリ認証形式として認証することもできます。IAM アイデンティティセンターでの MFA 設定の詳細については、「IAM アイデンティティセンターユーザーガイド」を参照してください。
IAM アイデンティティセンターはウェブ認証仕様をサポートしていますか?
はい。IAM アイデンティティセンターの ID ストアと Active Directory のユーザー ID の場合、IAM アイデンティティセンターはウェブ認証 (WebAuthn) 仕様をサポートします。これにより、YubiKey などの FIDO 対応のセキュリティキーと、Apple MacBook の Touch ID や PC の顔認識などの組み込み生体認証機能を使用して AWS アカウントとビジネスアプリケーションへのユーザーアクセスを保護するのに役立ちます。Google Authenticator や Twilio Authy などの認証アプリを使用してワンタイムパスワード (TOTP) を有効にすることもできます。
従業員が IAM アイデンティティセンターの使用を開始する方法は?
従業員は、IAM アイデンティティセンターでアイデンティティソースを設定する時に生成されるアクセスポータルにアクセスすることで IAM アイデンティティセンターの使用を開始できます。IAM アイデンティティセンターでユーザーを管理する場合、従業員は IAM アイデンティティセンターで設定した E メールアドレスとパスワードを使用してユーザーポータルにサインインできます。IAM アイデンティティセンターを Microsoft Active Directory または SAML 2.0 アイデンティティプロバイダーに接続する場合、従業員は既存のコーポレート認証情報を使ってユーザーポータルにサインインし、それぞれに割り当てられているアカウントとアプリケーションを表示することができます。従業員がアカウントまたはアプリケーションにアクセスするには、アクセスポータルから関連するアイコンを選択します。
IAM アイデンティティセンターに使用できる API はありますか?
はい。IAM アイデンティティセンターでは、複数アカウント環境でアクセス許可の管理を自動化し、監査とガバナンスのためにプログラムによってアクセス権限を取得することをサポートするアカウント割り当て API が提供されます。