AWS IAM アイデンティティセンターの機能

AWS IAM アイデンティティセンターは、複数の AWS アカウントおよびビジネスアプリケーションへのアクセスの一元管理を容易にします。ワークフォースには、割り当てられたすべてのアカウントとアプリケーションへのシングルサインオンアクセスを一か所から提供します。IAM アイデンティティセンターを使用すると、AWS Organizations にあるすべてのアカウントに対する一元的なアクセスとユーザーアクセス許可を簡単に管理できます。IAM アイデンティティセンターでは、個々のアカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なアクセス許可のすべてが自動的に設定および維持されます。ユーザーのアクセス許可は、一般的な職務に基づいて割り当てることができ、特定のセキュリティ要件を満たすためにこれらのアクセス許可をカスタマイズすることも可能です。IAM アイデンティティセンターには、Amazon SageMaker Studio、AWS Systems Manager Change Manager、および AWS IoT SiteWise などの AWS アプリケーションや、Salesforce、Box、Microsoft 365 などの多くのビジネスアプリケーションとの組み込み統合も含まれています。

IAM アイデンティティセンターの ID ストアでユーザー ID を作成して管理する、または簡単に Microsoft Active Directory、Okta、Ping Identity、JumpCloud、Azure Active Directory (Azure AD) などの既存の ID ソースに接続することができます。IAM アイデンティティセンターにより、ID ソースからコストセンター、タイトル、ロケールなどのユーザー属性を選択してから、それらを AWS での属性ベースのアクセス制御 (ABAC) に利用できます。

IAM アイデンティティセンターを開始するのは簡単です。IAM アイデンティティセンターのマネジメントコンソールで数回クリックするだけで、既存の ID ソースに接続できます。そこから、AWS Organizations で割り当てられたアカウントや、何百もの事前設定されたクラウドアプリケーションへのアクセスをユーザーに許可するアクセス許可を設定することができ、すべて単一のユーザーポータルから行うことができます。

IAM アイデンティティセンターはデフォルトで ID ストアを提供し、これを使用してユーザーを作成し、IAM アイデンティティセンター内のグループに編成することができます。メールアドレスと名前を構成することで、IAM アイデンティティセンターにてユーザーを作成できます。ユーザーを作成する際、IAM アイデンティティセンターはデフォルトでユーザーにメールを送信し、そのユーザーが独自のパスワードを設定できるようにします。数分で、すべての AWS アカウントの AWS リソースや多くのビジネスアプリケーションへのアクセス許可を、ユーザーやグループに与えることができます。ユーザーは、IAM アイデンティティセンターで設定した認証情報セットでユーザーポータルにサインインし、自身が割り当てられているアカウントやアプリケーションのすべてに単一の場所からアクセスします。

Security Assertion Markup Language (SAML) 2.0 を通じて IAM アイデンティティセンターを Okta Universal Directoryや Azure AD またはサポートされている他の ID プロバイダー (IdP) に接続できるので、ユーザーは既存の認証情報でサインインできます。IAM アイデンティティセンターはユーザープロビジョニングの自動化のための System for Cross-domain Identity Management (SCIM) もサポートしています。お使いの IdP でユーザーを管理し、ユーザーを素早く AWS に取り込み、全 AWS アカウントとビジネスアプリケーションへのアクセスを一元管理できます。IAM アイデンティティセンターでは、コストセンター、タイトル、ロケールなどの複数のユーザー属性を Okta Universal Directory から選択し、それらを ABAC に使用して、アクセス管理を簡素化および一元化することもできます。

IAM アイデンティティセンターでは、Microsoft Active Directory Domain Services (AD DS) からの既存のコーポレート ID を使って、アカウントおよびアプリケーションへのシングルサインオンアクセスを管理できます。IAM アイデンティティセンターは AWS Directory Service を通じて AD DS に接続するので、ユーザーを該当する AD グループに追加するだけで、それらのユーザーにアカウントとアプリケーションへのアクセス権を付与できます。たとえば、アプリケーションに対する作業を行う開発者チーム用にグループを作成し、そのグループにアプリケーションの AWS アカウントへのアクセス権を付与することができます。新しいデベロッパーがチームに加わる場合は、そのデベロッパーを AD グループに追加します。これにより、新しい開発者にも開発中のアプリケーションのすべての AWS アカウントへのアクセスが自動的に許可されます。IAM アイデンティティセンターでは、AD からコストセンター、タイトル、ロケールなどの複数のユーザー属性を選択し、それらを ABAC に使用して、アクセス管理を簡素化および一元化することもできます。

IAM アイデンティティセンターを使用すると、ユーザーがサインイン中に MFA デバイスをセットアップする要件を含め、すべてのユーザーに MFA を適用できます。IAM アイデンティティセンターにより、すべての ID ソースのすべてのユーザーに対して標準ベースの強力な認証機能を使用できます。サポート対象の SAML 2.0 IdP を ID ソースとして使用する場合は、プロバイダーの多要素認証 (MFA) 機能を有効にできます。Active Directory または IAM アイデンティティセンターを ID ソースとして使用する場合、IAM アイデンティティセンターはウェブ認証仕様をサポートします。これにより、YubiKey などの FIDO 対応のセキュリティキーと、Apple MacBook の Touch ID や PC の顔認識などの組み込み生体認証機能を使用して AWS アカウントとビジネスアプリケーションへのユーザーアクセスを保護するのに役立ちます。Google Authenticator や Twilio Authy などの認証アプリを使用して時間ベースのワンタイムパスワード (TOTP) を有効にすることもできます。

IAM アイデンティティセンターは、AWS Identity and Access Management (IAM) のロールとポリシーに基づいて構築されており、AWS 組織内のすべての AWS アカウント全体でアクセスを一元管理するのに役立ちます。IAM アイデンティティセンターは、1 つまたは複数の IAM ポリシーのコレクションであるアクセス許可セットを使用します。そして、ユーザー/グループのアクセスを定義するために、アクセス許可セットを割り当てます。これらの割り当てに基づいて、サービスは IAM アイデンティティセンター制御の IAM ロールを作成し、割り当てられた各アカウント内のこれらのロールにアクセス許可セットで指定されたポリシーをアタッチします。個別のアカウントに追加で設定を行う必要はありません。 

IAM アイデンティティセンターでは、さまざまなパートナー統合オプションを通じて一時的な上位アクセスを提供しています。AWSは、CyberArk Secure Cloud Access、Ermetic、Okta Access Requests を使用して、完全な監査性を必要とする機密性の高い運用、複雑な権限や監査ニーズを伴うマルチクラウド環境、複数の ID ソースやアプリケーション統合を使用する組織など、さまざまな一時的な上位アクセスシナリオに対応できることを検証しています。本番環境での価値の高いリソースの設定変更など、機密性の高い操作を実行する永続的な権限を持たないワークフォースユーザーは、指定された時間内にアクセスを要求し、承認を受け、操作を実行できます。また、監査人はパートナーソリューションでのアクションと承認のログを表示できます。

IAM アイデンティティセンターコンソール内では、アプリケーションの割り当てを使用して、Salesforce、Box、Microsoft 365 などの多くの SAML 2.0 ビジネスアプリケーションへのシングルサインオンアクセスを提供することができます。各アプリケーションへのシングルサインオンアクセスは、IAM アイデンティティセンター内のステップバイステップの手順に従って簡単に設定できます。ガイドに従って、必要な URL、証明書、メタデータを入力できます。IAM アイデンティティセンターと統合済みのビジネスアプリケーションの詳細な一覧については、IAM アイデンティティセンタークラウドアプリケーションを参照してください。

IAM アイデンティティセンターでは、IAM アイデンティティセンター ID ストアで定義されたユーザー属性に基づいて、ワークフォースのきめ細かい権限を簡単に作成して使用できます。IAM アイデンティティセンターにより、コストセンター、タイトル、ロケールなどの複数の属性を選択してから、それらを属性ベースのアクセス制御 (ABAC) に利用して、アクセス管理を簡素化および一元化できます。AWS 組織全体に対して一度アクセス許可を定義し、ID ソースの属性を変更するだけで、AWS アクセスを許可、取り消し、または変更できます。

ABAC の詳細はこちら »

IAM アイデンティティセンターが、組織内のすべてのメンバーアカウントに対して、AWS Organizations の委任された管理者のアカウントからの集中管理と API アクセスをサポートします。つまり、すべてのメンバーアカウントを一元管理するために使用できる組織内のアカウントを指定できることになります。委任された管理を使用すると、管理アカウントを使用する必要性を減らすことで、推奨されるプラクティスに従うことができます。

IAM アイデンティティセンターは、クレジットカード業界のセキュリティ基準 (PCI DSS、Payment Card Industry - Data Security Standard)、国際標準化機構 (ISO、International Organization for Standardization)、System and Organization Controls (SOC) 1、2、および 3、Esquema Nacional de Seguridad (ENS) の「高」、金融市場監査局 (FINMA、Financial Market Supervisory Authority) の国際保証業務基準 (ISAE、International Standard on Assurance Engagements) 3000 Type 2 Report の要件、および多層クラウドセキュリティ (MTCS、Multi-Tier Cloud Security) など、セキュリティ標準およびコンプライアンス要件に対応します。このサービスは、PROTECTED レベルの Information Security Registered Assessors Program (IRAP) 評価を受けたままです。

IAM アイデンティティセンターは AWS Organizations との統合を必要とし、組織内のアカウントを 1 つ以上選択し、選択したアカウントへのアクセス権をユーザーに付与できます。わずか数回のクリックで、IAM アイデンティティセンターの使用を開始し、アプリケーションやチームで使用されているすべての AWS アカウントへのアクセス権をワークフォースに付与できます。

IAM アイデンティティセンターアプリケーション割り当て設定ウィザードを使用して、SAML 2.0 対応アプリケーションへのシングルサインオン統合を作成することができます。アプリケーション割り当て設定ウィザードは、アプリケーションを送信してシングルサインオンアクセスを有効化するための情報を選択してフォーマットするために役立ちます。例えば、ユーザー名の SAML 属性を作成し、AD プロファイルから取得したユーザーの電子メールアドレスに基づいて属性の形式を指定できます。

管理アクティビティとマルチアカウントアクセスアクティビティはすべて AWS CloudTrail に記録され、IAM アイデンティティセンターのアクティビティを一元的に把握して監査することができます。CloudTrail から、サインインの試行、アプリケーションの割り当て、ディレクトリ統合の変更などのアクティビティを確認できます。たとえば、一定の期間にユーザーがアクセスしたアプリケーションや、特定のアプリケーションへのアクセスがユーザーに許可された日時を確認できます。