IAM Identity Centerとは
AWS Organizations組織に属している複数のAWSアカウントへのシングルサインオンを可能にし、各アカウントへの権限を一元管理できるサービスです。
企業におけるAWSの活用が進むことで、AWSのアカウント管理手法としてマルチアカウント戦略を取る企業が多くなっています。それに伴い多数のAWSアカウントへのアクセスを一元的に管理し、セキュリティを確保しながら運用の効率化を図ることが求められています。IAM Identity Centerはシングルサインオン等でこれらの課題を解決できることから、その需要が高まっています。
IAM Identity Centerを使用すると、ユーザーはシングルサインオンで複数のAWSアカウントにログインできるようになります。また、各ユーザーへのアクセス権の割り当てと管理を1箇所から集中管理できます。
利用のメリット
AWSアカウントの一元管理
IAM Identity Centerを使用しない環境では、複数のAWSアカウントへログインするには、アカウントごとにIAMユーザーまたはIAMロールの設定が必要です。さらに、ユーザーやグループごとに異なる権限を各アカウントで設定する場合、管理するべきリソースが増加して運用負荷が大きくなります。
IAM Identity Centerではユーザー(およびグループ)、AWSアカウント、権限(許可セット)がそれぞれ独立した単位として存在します。これらを関連付けることで、各アカウントへのログインやアクセス権を付与することが可能となります。さらに、これら全てを一つのIAM Identity Centerから一元的に管理できるため、運用負荷が大幅に軽減されます。
ログインと認証基盤連携を簡単に
IAM Identity CenterではAWSアクセスポータルという、シングルサインオンのための専用の画面が用意されています。このポータルにログインすると、ユーザーは表示されたAWSアカウントを簡単に選択してアクセスできます。
またMicrosoft Active DirectoryやAzure AD、OktaといったSAML2.0準拠のほとんどのIDプロバイダーと連携可能です。そのため、シングルサインオンを行う際の認証に社内の既存の認証基盤を活用することができます。
一元的な監査と強化されたセキュリティ
IAM Identity Centerを活用することで、AWS CloudTrailを通じて、単一のAWSアカウント上で複数AWSアカウントへのサインインアクティビティのモニタリングと監査が可能となります。
さらに、IAM Identity Centerの使用により、AWS マネージメントコンソールやAWS CLIの利用にIAMユーザーを必要としなくなります。シークレットキーなどの永続的なクレデンシャルを各ユーザーで保管する必要がなくなるため、セキュリティ面でも大きなメリットがあります。
クラスメソッドのソリューション
請求代行サービス 組織管理プラン
クラスメソッドが提供するAWS総合支援クラスメソッドメンバーズでは、IAM Identity Centerを使用する上での必須要件であるAWS Organizationsや AWS Control Tower利用者を対象とした組織管理プランをご用意しています。
マルチアカウント管理プロジェクトの初期段階である、最適なマルチアカウント管理の方針の段階からご相談可能です。クラスメソッドはAWSのプレミアティアサービスパートナーとして多くのお客様のAWSアカウントを管理しており、マルチアカウント管理の最前線を走っています。豊富な実績と経験をもとに、ガイドラインや要件・社内ポリシーなど基本方針の策定からお客様をリードします。
組織管理プランをご利用いただくと、利用規模にかかわらずAWS利用料に一律3%のディスカウント価格が適応されます。組織の管理アカウントにもお客様ご自身でアクセス可能です。
CCoE支援(組織的なクラウド活用支援)
御社のCCoE導入・推進を支援します。AWSに慣れるためのPoCの技術支援から、その後は大規模マイグレーションやクラウド利用の統制に向けた取り組みをお手伝いします。並行してAWSトレーニングをご提供し、CCoE担当者や組織内のエンジニアの自走を促進します。
複数のAWSアカウントを管理するCloud Center of Excellence (CCoE) チームにとって、IAM Identity Centerの活用は極めて重要です。しかし、グループの設計や許可セットの作成単位等、IAM Identity Centerの設計には独自の知識が必要となります。クラスメソッドでは、DevelopersIOブログなどに代表される知見を活かして、IAM Identity Centerを含むAWS Organizationsのベストプラクティスに基づいた設計をご提案します。
よくある質問
- Azure ADやOktaのユーザーを使ってIAM Identity Center経由でAWSアカウントにアクセスすることはできますか?
- はい、可能です。Azure ADやOkta等のIDプロバイダーと AWS IAM Identity Center間でSAMLの信頼関係を構築しユーザー情報を同期することで、IDプロバイダー上のユーザー認証情報を使ってAWSアクセスポータルにログイン出来るようになります。その他、Microsoft Active Directory等、SAML2.0準拠のほとんどのIDプロバイダーをサポートしています。
- Azure ADやOktaなどで管理しているグループの情報を自動でIAM Identity Centerに同期することはできますか?
- はい、可能です。SCIMというプロトコルを使用することで、ユーザーやグループの情報をIDプロバイダーからIAM Identity Centerに同期することができます。Okta、Azure AD、OneLogin、PingFederateからの自動同期をサポートしています。
クラスメソッドの特長
お客様の成功を追求できる
組織体制
AWSとの戦略的協業や各種資格を取得したエンジニア、豊富な実績を通じて培われた業界・事業への知見、海外拠点との時差を活用した24時間サポートと多言語対応など、高い技術力と支援体制を兼ね備えています。国内外のSaaS製品も豊富に取り扱いがあり、課題解決に向けて技術や手段の制約を受けることなく最適な道筋をご提案できます。
成果と技術力に裏付けられた
高い提案力
小売、製造、金融、官公庁など、業界を問わず3,000社以上でのプロジェクト実績があります。社内に事例が蓄積しているからこそ、課題に対して生きた解決方法を提示できます。社員の7割を構成するエンジニア間での情報共有や質問、意見交換もさかんなため、ご相談いただいた背景も踏まえて幅広い技術提案が可能です。
IT投資の成果を早める
内製化サポート
ビジネスの成長には、導入後の運用・改善を繰り返すことが大切です。クラスメソッドは技術支援だけでなく、DevOpsメソッドにおけるトレーニングやオンサイトコーチングなども実施できます。お客様自身が自動化や開発手法を身につけ、改善し続けられるように、技術と仕組みづくりの両面からサポートします。
膨大な情報発信を通して
更新されつづけるナレッジ
技術情報の発信を通して、知識を常にアップデートしています。累計4万本、月間300万PVを誇る技術メディア「DevelopersIO」の執筆・運営を続けており、書籍出版や技術書への寄稿、イベントやカンファレンスへの登壇実績もあります。お客様からのご相談に対して、常に最新の情報で回答します。
実績
IAM Identity Centerに関する技術情報
2015年から継続して最上位パートナーに認定され、2022年にはグローバル最優秀SIパートナーとして「SI Partners of the Year - Global」を受賞。翌2023年にもアジアの最優秀パートナーとして「SI Partner of the Year - APJ」を受賞しました。技術支援実績は3,000社、20,000アカウント以上、多くのお客様に最適な技術提案を行っています。