投稿日: Nov 25, 2019
本日、AWS Identity and Access Management (IAM) では、ディレクトリのコストセンターや部門など、従業員の既存のアイデンティティ属性を使用して、AWS のきめ細かいアクセス許可を作成することが可能になりました。管理者は AWS でこうした従業員属性を使用して、属性に基づく AWS リソースへのアクセスコントロールを実装し、大規模にアクセス許可管理を簡素化することができます。
AWS リソースへの従業員のアクセスを許可する方法の 1 つは、ID フェデレーションです。標準に準拠したアイデンティティプロバイダー (IdP、identity provider) を使用して、社内ディレクトリに保存された従業員のアイデンティティのフェデレーテッドアクセスを管理することができます。フェデレーテッドユーザーのアクセス管理について、ディレクトリのアイデンティティ属性を利用することで管理者とエンドユーザーのエクスペリエンスを簡素化したいというご要望がありました。今回のローンチにより管理者は、従業員が AWS にフェデレートする際、AWS セッションに従業員属性を送信するよう IdP を設定することができるようになりました。AWS でこれらの属性をタグとして使用することで、タグが合致する場合のみ従業員が AWS リソースにアクセスできるような、きめ細かいアクセス許可の作成を簡素化することができます。こうすることで、AWS アカウントで作成および管理する必要のある、個々のアクセス許可の数を削減できます。たとえば、チーム "レッド" の開発者 Bob とチーム "ブルー" の開発者 Sally が、AWS にフェデレートして同じ IAM ロールを引き受けた場合、両者はチームにのみタグ付けされたプロジェクトリソースへの個別のアクセス許可を得ます。これは、Bob と Sally が AWS にフェデレートする時、IdP が AWS セッションでのチーム名属性を送信し、ロールの権限でチーム名タグと照合してプロジェクトリソースへのアクセスを許可するためです。Bob がチーム "ブルー" に異動した場合、ディレクトリのチーム名を更新すると、IAM のアクセス許可を更新することなく、Bob は自動的にチーム "ブルー" のプロジェクトリソースへのアクセス権を得ることができます。
AWS Identity パートナーである Ping Identity、OneLogin、Okta、Auth0、Forgerock、IBM、RSA では、アイデンティティソリューションでこの新機能のエンドツーエンド体験を認証しています。当社ではこの機能を認証するパートナーをお待ちしています。詳細については、標準に準拠したアイデンティティプロバイダーにご連絡ください。 社内アイデンティティを AWS でのアクセス許可ルールに接続する方法の詳細については、AWS セッションでのセッションタグの受け渡しをご覧ください。