AWS Identity、ディレクトリ、およびアクセスサービスは、AWS クラウドでの認証、許可、およびガバナンスの管理に役立ちます。これらのサービスを使用すると、AWS クラウドのどこからでも、AWS アカウントおよびインフラストラクチャへのアクセスを安全に管理および監査できます。AWS では、専用のアイデンティティ、ディレクトリ、およびアクセスサービスを使用して、簡単かつ安全に既存のワークロードを AWS クラウドに移行したり、新しいクラウドネイティブアプリケーションを構築したりできます。また、既存のアイデンティティやディレクトリを使用したり、AWS マネージドサービスを利用したりする柔軟性もあります。
ユーザーが簡単かつ安全に認証できるように、AWS Identity、ディレクトリ、およびアクセスサービスでは、ユーザーが自分のアイデンティティを AWS クラウドに持ち込めるようにします。例えば、Facebook や Amazon などのソーシャル ID プロバイダを使用して、自分のアプリケーションのユーザーを認証できます。また、開発者や AWS 管理者が企業用の既存の認証情報を使用して AWS アカウントにアクセスできるようにすることもできます。AWS では、きめ細かなアクセスポリシーと短期間で期限切れとなる認証情報を使用して AWS リソースへのアクセス許可を管理することにより、AWS アカウント内で許可を管理できます。AWS アカウントを追加し、リソースを拡大しながら、複数の AWS アカウントにわたってシングルサインオン (SSO) アクセス、ポリシー、およびガバナンスを管理する AWS のサービスで監査やコンプライアンスの要件を満たすことができます。AWS を使用すると、迅速かつ安全にサービスを開始し、AWS クラウドの規模を拡大しながら、時間の経過とともに豊富な機能を活用できるようになります。
利点
迅速かつ安全な開始
AWS Identity、ディレクトリ、およびアクセスサービスでは、セキュリティのベストプラクティスに従うため、AWS クラウドを迅速かつ安全に開始できます。AWS Identity and Access Management (IAM) 管理ポリシーとポイントアンドクリック方式のビジュアルエディタを使用すると、データベース管理者、データサイエンティスト、監査人などの一般的な職務機能に基づいて簡単に IAM ポリシーを作成できます。こうした組み込みのポリシーは、特定のセキュリティ要件に合わせて拡張することもできます。例えば、組み込みのデータベース管理者ポリシーをコピーして、アクセス許可の範囲を Amazon DynamoDB へのアクセスのみに制限できます。
時間の経過とともに豊富な機能を活用
AWS では、時間の経過とともにニーズが高度化するにつれて、豊富な機能を活用できるようになります。厳格な規制およびコンプライアンスの要件を満たすためにきめ細かなアクセスポリシーを作成できます。API レベルに至るまで AWS のサービスやリソースへのアクセス許可を定義し、そのアクセス許可をいつどのように使用できるかについての条件を設定できます。また、AWS CloudTrail や AWS CloudWatch などの AWS のログ記録およびモニタリングサービスとの統合により、AWS リソース全体にわたって誰が何にアクセスしているかを把握できます。
AWS クラウドを安全に拡大
AWS アカウントの追加に伴ってクラウドを安全に拡大できるように、AWS Identity、ディレクトリ、およびアクセスサービスでは、AWS アカウント全体にわたってアクセスとガバナンスを管理できます。AWS Single Sign-On (SSO) を使用すると、複数の AWS アカウントへのアクセスを一元的に管理できます。AWS Organizations では、アカウントのグループを作成し、サービスコントロールポリシーを適用することで、AWS アカウントで許可されている AWS サービスの API を管理できます。例えば、開発用および本番用リソースで使用する、別個のアカウントグループを作成し、それぞれのグループに異なるサービスコントロールポリシーを適用できます。
ユースケース
AWS リソースやビジネスアプリケーションへのユーザーアクセスを管理および保護します。
AWS リソースやビジネスアプリケーションへのユーザーアクセスの管理および保護は、セキュリティおよびコンプライアンスポリシーの重要な部分です。AWS Identity、ディレクトリ、およびアクセスサービスを使用すると、企業用の既存のアイデンティティを使用して AWS アカウントやビジネスアプリケーションへのユーザーアクセスを管理したり、きめ細かなアクセスポリシーを定義して AWS リソースへのアクセス許可を管理したりできます。また、AWS アカウント全体にわたって AWS サービスの API の使用を制御することで、セキュリティポリシーやコンプライアンスポリシーを満たすこともできます。AWS Identity、ディレクトリ、およびアクセスサービスでは、ユーザーが AWS アカウント内で実行するリソースへのアクセス許可を拡張することもできます。例えば、セキュリティエンジニアによってトリガーされる AWS Lambda 関数に与えられたアクセス許可が、セキュリティエンジニアに与えられたアクセス許可を超えないようにできます。
AWS リソースへのアプリケーションアクセスを管理および保護します。
AWS のさまざまなサービスとアカウントで実行される分散アプリケーションを構築するには、アプリケーションリソースのアイデンティティとアクセス許可を検証できる必要があります。AWS Identity、ディレクトリ、およびアクセスサービスでは、ロールと呼ばれる短期間で期限切れとなる認証情報を使用することで、アイデンティティの検証やリソースに対するアクセス許可の管理を安全に行えます。ロールを使用すると、セキュリティのベストプラクティスに従って最小限の権限を付与でき、Amazon EC2 インスタンスやコンテナで実行される AWS のサービスおよびアプリケーションに対するきめ細かなアクセス許可を管理できます。ロールを使用すると、パスワードや API キーを配布したり、ソースコードに認証情報をハードコードしたりせずに、こうしたリソースに対しデータへのアクセスを許可できます。
自分のアプリケーションへのアクセスを管理および保護します。
アプリケーションでアイデンティティと認証を管理するためのカスタムソリューションの構築には手間がかかります。AWS Identity、ディレクトリ、およびアクセスサービスを使用すると、アプリケーションにサインアップとサインインの機能を追加したり、アプリケーションユーザー用にスケーラブルなクラウドネイティブディレクトリを作成したりすることが簡単にできます。また、ユーザーが Facebook や Amazon などのソーシャル ID プロバイダーから自分のアイデンティティを持ち込んだり、SAML を介して企業用の既存のアイデンティティを使用したりできるようにすることも可能です。アプリケーションのユーザーアカウントへのアクセスを保護できるように、AWS Identity、ディレクトリ、およびアクセスサービスでは、Multi-Factor Authentication (MFA) をアプリケーションに追加できます。MFA を有効にすると、ユーザーはアプリケーションにアクセスする前に、SMS で配信される 6 桁のコードなど、検証用の追加の要素を入力する必要があります。
アイデンティティ、ディレクトリ、およびアクセスサービス
AWS Identity and Access Management
AWS Identity and Access Management (IAM) では、AWS サービスおよびリソースへのアクセスを管理できます。IAM ポリシーを作成すると、IAM ユーザーおよびグループのアクセス許可を管理し、それらのアクセス許可を使用して AWS リソースへのアクセスを許可または拒否できます。
AWS Organizations
AWS Organizations では、複数の AWS アカウントをポリシーベースで管理できます。AWS Organizations を使用すると、アカウントのグループを作成し、グループにポリシーを適用できます。
AWS Directory Service
AWS Directory Service for Microsoft Active Directory では、AWS クラウド内のマネージド型の Active Directory をディレクトリ対応型ワークロードと AWS リソースで使用できます。
AWS Single Sign-On
AWS Single Sign-On (SSO) により、複数の AWS アカウントやビジネスアプリケーションへの SSO アクセスの一元管理が容易になります。ユーザーは、企業用の認証情報でユーザーポータルにサインインし、1 か所からアカウントやアプリケーションにアクセスできます。
Amazon Cognito
Amazon Cognito では、モバイルおよびウェブアプリケーションに、ユーザーのサインアップとサインインの機能を簡単に追加できます。また、Facebook や Amazon などのソーシャル ID プロバイダ、または SAML を介してエンタープライズ ID プロバイダからユーザーを認証することもできます。
オンラインセミナー
AWS オンラインセミナーで最新情報を入手できます。
主な特徴
企業用の既存のアイデンティティの使用。
AWS を使用すると、企業用の既存のアイデンティティを使用して、AWS リソースおよびビジネスアプリケーションへのユーザーアクセスを管理できます。SAML 2.0 (Security Assertion Markup Language 2.0) を使用して AWS Identity and Access Management (IAM) をオンプレミスの Microsoft Active Directory (AD) と統合することにより、シングルサインオン (SSO) を使用した AD 認証情報での AWS アカウントへのアクセスが可能になります。承認した AWS アカウント数の増加に伴って AWS クラウドを拡大できるように、AWS Single Sign-On (SSO) では、複数の AWS アカウントやビジネスアプリケーションへの SSO アクセスを一元管理できます。AWS Directory Service では、AD フォレスト信頼または AD Connector を使用して、オンプレミスの AD を AWS クラウドに拡張できます。その後、既存の AD ユーザーおよびグループを使用して、AWS アカウントや AD 対応型ワークロード (Amazon RDS for SQL Server、Amazon EC2 for Windows Server、Amazon WorkSpaces など) へのアクセスを管理できます。
アイデンティティの管理と自分のアプリケーションへの安全なアクセス。
Amazon Cognito では、複数の外部 ID オプションを使用して、自分のアプリケーションへのアクセスを管理できます。ユーザーが Facebook や Amazon などのソーシャル ID プロバイダーを使用するか、SAML を介してエンタープライズ ID プロバイダーを使用して、自分のアイデンティティでアプリケーションにサインアップおよびサインインできるようにすることが可能です。また、Amazon Cognito ユーザープールを使用して、スケーラブルなクラウドネイティブディレクトリでアプリケーションユーザーを管理することもできます。
多要素認証を使用した安全なアクセス。
Multi-Factor Authentication (MFA) を使用して AWS リソースおよびアプリケーションへのアクセスを保護します。AWS Identity and Access Management (IAM) を使用すると、AWS アカウントへのアクセスに MFA を使えるようになります。また、AWS Directory Service for Microsoft Active Directory を使用すると、AD 対応型のアプリケーションで RADIUS (Remote Authentication Dial-In User Service) ベースの MFA を有効にすることもできます。さらに、Amazon Cognito では、自分のアプリケーションに MFA を追加することもできます。
きめ細かなアクセスポリシーの作成。
AWS Identity、ディレクトリ、およびアクセスサービスは、AWS クラウドでの安全なアクセスの管理に役立ちます。AWS Identity and Access Management (IAM) を使用すると、AWS リソースに対してきめ細かなアクセスポリシーを設定できます。例えば、IAM ユーザーのグループがどのような AWS サービスの API をどのような条件で使用する権限を持つのかを定義するポリシーを作成できます。
短期間で期限切れとなる認証情報を使用したアクセスの管理。
AWS の IAM ロールを使用すると、短期間で期限切れとなる認証情報を用いて AWS リソースへのアクセスを管理できます。IAM ロールにより、パスワードや API キーを配布することなく、AWS アカウント内のリソースへのアクセスを許可できます。例えば、AWS Lambda 関数に IAM ロールを割り当てると、ユーザーに代わって AWS CloudWatch にログを書き込む権限をその Lambda 関数に付与できます。また、Amazon EC2 の IAM ロールを使用すると、EC2 アクセス許可で実行されているアプリケーションに Amazon RDS データベースへのアクセス権を付与できます。
マネージドディレクトリサービス。
AWS には、さまざまなタイプのアプリケーションをサポートする複数のディレクトリサービスオプションが用意されています。Microsoft AD を必要とするアプリケーションの場合、AWS Managed Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory を使用して、マネージド AD サービスを利用できます。AWS Managed Microsoft AD が要件に合わない場合は、自分の AD を Amazon EC2 にデプロイできます。Amazon Cognito ユーザープールを使用して、自分のアプリケーション用にクラウドネイティブのユーザーディレクトリを構築することもできます。
