IAM Identity Center ではカスタマーマネージドアプリケーションからプログラムによる AWS アカウントアクセスが可能に
IAM Identity Center では、ユーザーが AWS アカウントにアクセスする代わりに、カスタマーマネージドアプリケーションからプログラムで AWS アカウントにアクセスできるようになりました。これには、ユーザーに割り当てられているアカウントとロールを検出し、AWS アカウントへのアクセスに必要な一時的な認証情報を取得する機能が含まれます。
外部 ID プロバイダー (IdP) を介してユーザーを認証するカスタマーマネージドアプリケーションを使用している場合は、IAM Identity Center でその IdP を信頼されたトークン発行元 (TTI) として設定できます。今回のリリースにより、こうしたアプリケーションに対して AWS アカウントへのアクセスを有効にできるようになりました。 IdP 経由で既にサインインしているユーザーは、別の認証フローを経ることなく、割り当てられた AWS アカウントにアクセスし、認可されたロールの一時的なセキュリティ認証情報を取得できます。 これにより、外部 ID プロバイダー経由でサインインした後でも、ユーザーに再度認証を求めるような不要なサインインプロンプトが表示されなくなります。
この機能は IAM Identity Center の組織インスタンスで利用できます。IAM Identity Center の管理者は、個々のカスタマーマネージドアプリケーションに対して AWS アカウントへのアクセスを明示的に有効にする必要があります。この機能を有効にできるのは、管理アカウントの管理者または委任された管理者のみであるため、アカウントレベルのリソースにアクセスできるアプリケーションを一元的に管理できます。
この機能は、すべての商用 AWS リージョン、AWS GovCloud (米国) リージョン、中国リージョンでご利用いただけます。使用を開始するには、IAM Identity Center コンソールに移動し、カスタマーマネージドアプリケーションを選択して AWS アカウントへのアクセスを有効にします。詳細については、IAM Identity Center ユーザーガイドの「Enable AWS account access for customer managed applications」を参照してください。