目次
AWS IAM Identity Center(AWS SSO(Single Sign-On))の特徴
AWS IAM Identity Center は AWS アカウントや業務アプリへのログインを一元管理するためのサービスです。昔の名前は AWS Single Sign-On (AWS SSO) で、2022年に IAM Identity Center へ名称変更されました。
対象は人間のユーザー向けの管理サービスです。IAM ユーザーのように各 AWS アカウントに個別ユーザーを大量作成する代わりに、IAM Identity Center でユーザーやグループをまとめて管理し、複数 AWS アカウントや対応アプリへのアクセスを一元的に割り当てます。既存の外部 IdP と接続して社内IDを使うことも、Identity Center 内で直接ユーザーを作ることもできます。
AWS アカウントへのアクセス管理と、アプリケーションへのアクセス管理が可能です。
また、IAM Identity Center は、「人に直接 IAM ポリシーを付ける」のではなく、Permission Set(権限セット)を通してアカウントアクセスを配るのが基本です。
- 複数の AWS アカウントとビジネスアプリケーション(Salesgforce、Box、Office365 など)へのアクセスの一元管理を容易にします。
- 割り当てられたアカウントとアプリケーションに対して 1 か所からのシングルサインオンでアクセスをユーザーに提供できます。
- AWS Organizations にあるすべてのアカウントに対するアクセスとユーザーアクセス許可を一元管理できます。
- 個々のアカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なアクセス許可のすべてが自動的に設定および維持されます。
■他社のシングルサインオンサービスの参考
- AccessMatrixUSO
- Okta
- OneLogin
- トラスト・ログイン
AWS SSO は既存の Active Directory を利用して管理します。
Permission Set(権限セット)
Permission Set(権限セット)とは、IAM Identity Center で定義する職務ロールのテンプレートのようなものです。たとえば、administrator-accessread-only power-user のような Permission Set を作って、開発者グループや監査グループへ割り当てます。その結果、各 AWS アカウントに対して、その権限に対応するロールが配られます。
コメント