AWS IAM アイデンティティセンターの機能

IAM アイデンティティセンターは、AWS Identity and Access Management (IAM) のロールとポリシーに基づいて構築されており、AWS 組織内のすべての AWS アカウント全体でアクセスを一元管理するのに役立ちます。IAM アイデンティティセンターは、1 つまたは複数の IAM ポリシーのコレクションであるアクセス許可セットを使用します。そして、ユーザー/グループのアクセスを定義するために、アクセス許可セットを割り当てます。これらの割り当てに基づいて、サービスは IAM アイデンティティセンター制御の IAM ロールを作成し、割り当てられた各アカウント内のこれらのロールにアクセス許可セットで指定されたポリシーをアタッチします。個別のアカウントに追加で設定を行う必要はありません。 

IAM アイデンティティセンターでは、さまざまなパートナー統合オプションを通じて一時的な上位アクセスを提供しています。AWS は、CyberArk Secure Cloud Access、Tenable Cloud Security、Okta Access Requests を使用して、完全な監査性を必要とする機密性の高い運用、複雑な権限や監査ニーズを伴うマルチクラウド環境、複数の ID ソースやアプリケーション統合を使用する組織など、さまざまな一時的な上位アクセスシナリオに対応できることを検証しています。本番環境での価値の高いリソースの設定変更など、機密性の高い操作を実行する永続的な権限を持たないワークフォースユーザーは、指定された時間内にアクセスを要求し、承認を受け、操作を実行できます。また、監査人はパートナーソリューションでのアクションと承認のログを表示できます。

IAM アイデンティティセンターコンソール内では、アプリケーションの割り当てを使用して、Salesforce、Box、Microsoft 365 などの多くの SAML 2.0 ビジネスアプリケーションへのシングルサインオンアクセスを提供することができます。各アプリケーションへのシングルサインオンアクセスは、IAM アイデンティティセンター内のステップバイステップの手順に従って簡単に設定できます。ガイドに従って、必要な URL、証明書、メタデータを入力できます。IAM アイデンティティセンターと統合済みのビジネスアプリケーションの詳細な一覧については、IAM アイデンティティセンタークラウドアプリケーションを参照してください。

信頼性の高い ID 伝播は、OAuth 2.0 認証フレームワークに基づいて構築されています。これにより、アプリケーションは、特定のユーザーの認証情報を共有することなく、そのユーザーに代わってデータやその他のリソースにアクセスできます。IAM アイデンティティセンター のこの機能により、ユーザーのデータアクセス管理と監査が簡素化され、複数の AWS Analytics アプリケーションにわたる Analytics ユーザーのサインインエクスペリエンスが向上します。まず、アプリケーションのオーナー、ID ソース、およびデータ管理者がアプリケーションをサービスに接続し、ユーザーとグループに基づくアクセス管理を開始します。そうすると、リソース管理者は、ID ソースの既存の ID とグループメンバーシップを使用して、アプリケーション内のデータリソースへのアクセスを設定および管理できます。監査チームとセキュリティチームは、データリソースへのアクセスを各ユーザーまでさかのぼって追跡できます。データアナリストは、使い慣れたシングルサインオン操作を使用して、AWS Analytics サービス (Amazon Redshift、Amazon Quicksight、Amazon S3、Amazon EMR、AWS LakeFormation) 全体で割り当てられたデータにシームレスにアクセスできます。信頼できる ID 伝播の詳細をご覧ください。 

IAM アイデンティティセンターでは、IAM アイデンティティセンター ID ストアで定義されたユーザー属性に基づいて、ワークフォースのきめ細かい権限を簡単に作成して使用できます。IAM アイデンティティセンターにより、コストセンター、タイトル、ロケールなどの複数の属性を選択してから、それらを属性ベースのアクセス制御 (ABAC) に利用して、アクセス管理を簡素化および一元化できます。AWS 組織全体に対して一度アクセス許可を定義し、ID ソースの属性を変更するだけで、AWS アクセスを許可、取り消し、または変更できます。

ABAC の詳細はこちら »

IAM アイデンティティセンターが、組織内のすべてのメンバーアカウントに対して、AWS Organizations の委任された管理者のアカウントからの集中管理と API アクセスをサポートします。つまり、すべてのメンバーアカウントを一元管理するために使用できる組織内のアカウントを指定できることになります。委任された管理を使用すると、管理アカウントを使用する必要性を減らすことで、推奨されるプラクティスに従うことができます。

IAM アイデンティティセンターは、クレジットカード業界のセキュリティ基準 (PCI DSS、Payment Card Industry - Data Security Standard)、国際標準化機構 (ISO、International Organization for Standardization)、System and Organization Controls (SOC) 1、2、および 3、Esquema Nacional de Seguridad (ENS) の「高」、金融市場監査局 (FINMA、Financial Market Supervisory Authority) の国際保証業務基準 (ISAE、International Standard on Assurance Engagements) 3000 Type 2 Report の要件、および多層クラウドセキュリティ (MTCS、Multi-Tier Cloud Security) など、セキュリティ標準およびコンプライアンス要件に対応します。このサービスは、PROTECTED レベルの Information Security Registered Assessors Program (IRAP) 評価を受けたままです。

IAM Identity Center は、組織インスタンスまたはアカウントインスタンスとしてデプロイできます。IAM ID センターの組織インスタンスは、AWS Organizations の管理アカウントにデプロイされます。これは、従業員の認証と承認を行うためのベストプラクティスであり、推奨されるアプローチです。これは、マルチアカウントの本番環境における AWS アカウントとアプリケーションのための単一の中央アクセス制御ポイントです。IAM Identity Center のアカウントインスタンスは、サポートされている AWS アプリケーション (Amazon Redshift など) を迅速に評価し、限られたアプリケーションユーザーが利用できるようにするために、ビジネスユーザーが実行できる、対象範囲が限定されたデプロイです。組織インスタンスの管理者は、AWS Organizations の機能であるサービスコントロールポリシー (SCP) を通じて、ビジネスユーザーがアカウントインスタンスを作成できるかどうかを制御できます。

IAM アイデンティティセンターアプリケーション割り当て設定ウィザードを使用して、SAML 2.0 対応アプリケーションへのシングルサインオン統合を作成することができます。アプリケーション割り当て設定ウィザードは、アプリケーションを送信してシングルサインオンアクセスを有効化するための情報を選択してフォーマットするために役立ちます。例えば、ユーザー名の SAML 属性を作成し、AD プロファイルから取得したユーザーの電子メールアドレスに基づいて属性の形式を指定できます。

管理アクティビティとマルチアカウントアクセスアクティビティはすべて AWS CloudTrail に記録され、IAM アイデンティティセンターのアクティビティを一元的に把握して監査することができます。CloudTrail から、サインインの試行、アプリケーションの割り当て、ディレクトリ統合の変更などのアクティビティを確認できます。たとえば、一定の期間にユーザーがアクセスしたアプリケーションや、特定のアプリケーションへのアクセスがユーザーに許可された日時を確認できます。