はじめに
こんにちは!クラウド事業部の早房です。
今回は、IAM Identity Center についてご紹介します。
IAM Identity Center とは?
AWS が提供するサービスの1つで、複数のAWSアカウントへのシングルサインオンを簡素化するためのサービスです。
IAM Identity Centerを使用することで、ユーザーは 1 つの認証情報を使用して複数のAWSアカウントにアクセスすることができます。
また、外部 ID プロバイダーと IAM Identity Center 間で SAML の信頼関係を結びユーザー/グループ情報を同期することで、外部 ID プロバイダーの認証情報で AWS サービスの利用を提供する優れものです。
サポートされる外部 ID プロバイダーには Azure AD や Google Workspace などがあります。
※サポートされる外部 ID プロバイダーは以下を参照ください。
docs.aws.amazon.com
IAM Identity Center ユーザーとは?
「外部 ID プロバイダーから IAM Identity Center に同期されたユーザー」です。
筆者は Azure AD から IAM Identity Center にユーザーを同期してみました。
■ Azure AD 側
■ IAM Identity Center 側
また、IAM Identity Center ユーザーにはアクセス可能なアカウントを割り当てることができます。
更に、許可セットを割り当てることにより、アクセス先のアカウントでの操作を制限することができます。
これにより、例えば以下のようなアカウント運用が可能です。
・管理用ユーザーはすべてのアカウントへのアクセスが可能、かつすべての操作が可能。
・開発者用アカウントは開発用アカウントへのアクセスのみが可能。
・監査用アカウントはすべてのアカウントへのアクセスが可能、かつリソースの参照のみが可能。
なお許可セットはあらかじめ定義されているものに加え、要件に応じてカスタム許可セットを作成することができます。
docs.aws.amazon.com
まとめ
アクセス可能なアカウントと許可セットの割り当ては、ユーザー単位のみならずグループ単位でも可能とのことなので、
環境が整えば試してみたいと思います。(Azure AD の無料プランはグループの同期ができず・・・)
また、外部 ID プロバイダーにユーザーが追加された場合、自動的に IAM Identity Center に同期することも可能なので、運用の手間も省けそうです。
おわりに
私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
https://www.ap-com.co.jp/service/utilize-aws/
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
