AWS IAM アイデンティティセンターが単一の ID コンテキストで AWS サービスへの呼び出しを簡素化
AWS IAM アイデンティティセンターでは、単一の ID コンテキストを使用して AWS サービスへのアクセスをリクエストしているユーザーの ID を伝達できるようになり、アプリケーション開発者のエクスペリエンスが簡素化されました。
以前は、アプリケーションで信頼できる ID 伝播を使用できるようにしたいアプリケーション開発者は、2 つの異なる IAM ロールセッションを使用して AWS サービスを呼び出す必要がありました。1 つはユーザーによるアクセスを許可できるサービス用で、もう 1 つは監査用にユーザー ID のみをログに記録するサービス用です。このリリースでは、アプリケーション開発者は、sts:identity_context で単一の IAM ロールセッションを使用して任意の AWS サービスを呼び出すことができます。アプリケーションが信頼できる ID 伝播のユースケースで設定されている場合、AWS サービスはアイデンティティコンテキストを使用してユーザーアクセスを承認します。AWS サービスが信頼できる ID 伝播のユースケースに含まれていない場合でも、リソースへのアクセスは引き続き IAM ロールによって承認されます。CloudTrail イベントバージョン 1.09 以降を使用するすべての AWS サービスは、サービスログと Amazon CloudTrail ログの OnBehalfOf 要素に IAM アイデンティティセンターの userId を記録します。
IAM アイデンティティセンターを使用すると、既存のワークフォースアイデンティティソースを AWS に一度接続するだけで、Amazon Q などの AWS アプリケーションが提供するパーソナライズされたエクスペリエンスにアクセスしたり、Amazon Redshift などの AWS サービスのデータへのユーザー認識型アクセスを定義、監査したり、複数の AWS アカウントへのアクセスを一元的に管理したりできます。IAM アイデンティティセンターのアイデンティティ強化ロールセッションの詳細については、こちらをご覧ください。この機能は、IAM アイデンティティセンターを使用するすべての AWS リージョンで追加料金なしで利用できます。