IAM アイデンティティセンターを使用することで、私の IAM ID またはフェデレーション設定に影響はありますか?

所要時間2分
0

AWS IAM アイデンティティセンター (AWS Single Sign-On の後継サービス) を使用して、ユーザーのために AWS アカウントとアプリケーションに対するアクセス権を付与したいと考えています。IAM アイデンティティセンターを使用することで、AWS Identity and Access Management (IAM) ID (ユーザー、グループ、ロール) に影響があるかどうかを知りたいと考えています。

簡単な説明

IAM アイデンティティセンターまたは IAM を使用して、ワークフォースを AWS アカウントやアプリケーションにフェデレーションできます。

IAM フェデレーションでは、アクセスコントロールのために、AWS アカウントおよびユーザー属性ごとに個別の SAML 2.0 または OIDC IdP をアクティブ化できます。AWS アカウントで IAM ユーザーを作成する代わりに、ID プロバイダーを使用できます。詳細については、「ID プロバイダーとフェデレーション」を参照してください。

IAM アイデンティティセンターは、IAM サービスにリンクされたロールを使用します。サービスにリンクされたロールには、許可を手動で追加する必要はありません。詳細については、「Using service-linked roles for IAM Identity Center」(IAM アイデンティティセンターのためのサービスにリンクされたロールの使用) を参照してください。

解決方法

IAM アイデンティティセンターは、IAM を使用して設定された ID フェデレーションとは独立しています。IAM アイデンティティセンターを使用しても、IAM ID やフェデレーション設定に影響はありません。

IAM アイデンティティセンターは、サービスにリンクされたロール AWSServiceRoleForSSO を使用して、AWS リソースを管理するための許可を付与します。AWS アカウントで作成された AWSServiceRoleForSSO ロールは、次の IAM 信頼ポリシーに類似した IAM アイデンティティセンターサービスのみを信頼します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service":"sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

サービスにリンクされたロール AWSServiceRoleForSSO によって作成された IAM ロールには、次のような IAM 信頼ポリシーが設定されています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

注: この IAM ポリシーは、IAM アイデンティティセンターによって自動的に作成された SAML プロバイダーのみを信頼します。

IAM フェデレーションでは、次のような信頼ポリシーを使用して、AWS アカウントで IAM ロールを手動で作成する必要があります。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://signin.aws.amazon.com/saml"
    }}
  }]
}

注: このポリシーがアタッチされた組織内の IAM エンティティのみが、お客様の AWS アカウントにアクセスできます。

IAM アイデンティティセンターを設定するには、「IAM アイデンティティセンターの使用を開始して AWS アクセスポータルにアクセスするにはどうすればよいですか?」を参照してください。


関連情報

How to create and manage users within AWS IAM Identity Center (AWS IAM アイデンティティセンター内でユーザーを作成および管理する方法)

IAM アイデンティティセンターでクラウドアプリケーションにユーザーアクセスを割り当てるにはどうすればよいですか?

IAM アイデンティティセンターアクセス許可セットを使用するにはどうすればよいですか?

Identity federation in AWS (AWS での ID フェデレーション)

AWS公式
AWS公式更新しました 2年前
コメントはありません

関連するコンテンツ