AWS IAM Identity Center とは?マルチアカウント認証統合
AWS IAM Identity Center は AWS マルチアカウント環境の認証統合サービス。1 つのアカウントでログインすれば、複数 AWS アカウントへ AssumeRole で切替アクセス可能。SAML 連携で AD・Google・Okta 等のID 基盤統合や...
マルチアカウント環境の認証統合サービス。1 ログインで複数 AWS アカウント・サードパーティ SaaS にアクセス。
1. 概要(端的に)
AWS IAM Identity Center は AWS マルチアカウント環境の認証統合サービス。1 つのアカウントでログインすれば、複数 AWS アカウントへ AssumeRole で切替アクセス可能。SAML 連携で AD・Google・Okta 等のID 基盤統合や、サードパーティ SaaS(Salesforce 等)へのシングルサインオンも実現。
2. 何ができるか
- マルチアカウント SSO:1 ログインで全 AWS アカウント
- アクセスポータル:Web で利用可能なロール一覧
- SAML 連携:AD / Okta / Google Workspace 等
- サードパーティ SaaS 統合:1 ログインで SaaS 群へ
- MFA 強制:組織レベルのセキュリティポリシー
- Permission Set:ロール定義のテンプレート
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | 無料 |
| 前提 | AWS Organizations |
| ID ソース | Identity Center 内 / AD / 外部 IdP |
| MFA | 仮想 MFA / U2F / WebAuthn 対応 |
| CLI 統合 | aws sso コマンドで CLI 認証 |
旧 IAM ユーザー方式との違い
| 観点 | 個別 IAM ユーザー | Identity Center |
|---|---|---|
| アカウント別の認証 | 必要 | 不要(SSO) |
| ID 管理 | アカウント別 | 一元化 |
| MFA 強制 | アカウント単位 | 組織単位 |
| 推奨 | 非推奨 | 推奨 |
4. 仕組み
Identity Center は AWS Organizations と密結合した SSO 基盤。中央のディレクトリが各アカウントへの AssumeRole アクセスをマッピングする。
構成
- Identity Center インスタンス:管理アカウント上の本体
- ユーザー:内部 / 外部 IdP から
- グループ:ユーザー集合
- Permission Set:「アカウント X で何ができるか」のテンプレート
- アカウント割当:ユーザー × Permission Set × アカウント
動作の流れ
- ユーザーが Identity Center ポータルへログイン
- 認証(内部 / SAML / OIDC)
- アクセス可能な AWS アカウント・ロール一覧表示
- クリックで AssumeRole → 該当アカウントへ
- AWS マネコン or CLI で操作
5. ユースケース
ユースケース 1:マルチアカウント運用
本番 / 開発 / ステージ 等 10 アカウントを 1 ログインで管理。
ユースケース 2:AD 統合
社内 AD ユーザーがそのまま AWS へ。
ユースケース 3:SaaS 統合
Salesforce / Slack / Office 365 への SSO。
ユースケース 4:CLI 認証
aws sso login でアクセスキー不要の CLI。
6. 関連用語
- IAM — Identity Center の基盤
- Organizations — マルチアカウント管理
- IAM-Role — Permission Set の実体
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 中 | SSO の概念 |
| SAA | 中 | マルチアカウント認証設計 |
| DVA | 低 | 出題稀 |
| SOA | 中 | アクセス管理運用 |