AWS IAM Identity Center (旧 AWS Single Sign-On)

1. サービス概要¶

AWS IAM Identity Center (旧 AWS Single Sign-On) は、AWS 環境全体へのアクセスを単一の場所で一元的に管理するためのサービスである。
組織内のユーザーやグループに対し、複数の AWS アカウントやアプリケーションへのシングルサインオン（SSO）を提供する。
これにより、ユーザーは AWS リソースへのアクセスを効率的に管理でき、セキュリティを向上させることができる。

主なユースケースとして、

複数の AWS アカウントの統合管理
企業の ID プロバイダー（IdP）との連携
AWS リソースへのアクセス権限の一元管理
多要素認証（MFA）の適用

などが挙げられます。

2. 主な特徴と機能¶

2.1 シングルサインオン (SSO)¶

IAM Identity Center は、ユーザーが一度認証を受けると、複数の AWS アカウントやアプリケーションに再度認証することなくアクセスできるシングルサインオン機能を提供する。
これにより、ユーザーの利便性を向上させ、パスワード管理の手間を軽減できる。

2.2 組織との統合¶

AWS Organizations と連携し、組織内のすべての AWS アカウントに対して、IAM Identity Center で一元的にアクセスを制御できる。
これにより、アカウントが増えても管理が複雑になることを防ぐ。

2.3 ID プロバイダー (IdP) との連携¶

Microsoft Active Directory、Okta、Azure AD などの外部 ID プロバイダーと連携して、既存のユーザーアカウントをそのまま使用できる。
これにより、既存の ID 管理システムとの統合が容易になり、ユーザー管理の手間を削減できる。

SAML 2.0: 主要な IdP と連携するための標準プロトコル
SCIM: ユーザープロビジョニングを自動化するための標準プロトコル

2.4 アクセス制御と権限管理¶

IAM Identity Center では、ユーザーやグループに対して、AWS アカウントやアプリケーションへのアクセス許可を付与できる。
AWS マネージドポリシーやカスタムポリシーを使用し、きめ細かいアクセス制御を実現できる。

Permission Sets: AWS アカウントへのアクセス権限を定義
AWS Managed Policies: AWS が提供する定義済みの権限ポリシー

2.5 多要素認証 (MFA)¶

セキュリティを強化するために、多要素認証（MFA）を適用できる。
これにより、パスワード漏洩のリスクを低減し、不正アクセスを防ぐことができる。

MFA オプション: 仮想 MFA デバイス、物理 MFA デバイス、SMS 認証

2.6 セルフサービスポータル¶

IAM Identity Center には、ユーザーが自分自身でアクセス可能な AWS アカウントやアプリケーションを確認できるセルフサービスポータルがある。

3. アーキテクチャおよび技術要素¶

ユーザーは IAM Identity Center にログインする（直接または IdP 経由）。
IAM Identity Center は、ユーザーの認証情報を検証する。
認証に成功すると、ユーザーは割り当てられた AWS アカウントやアプリケーションへのアクセス許可を取得する。
ユーザーは、シングルサインオンで AWS リソースにアクセスできる。
IAM Identity Center は、AWS Organizations と密接に連携し、組織全体のアクセス制御を一元的に管理する。

4. セキュリティと認証・認可¶

セキュリティは IAM Identity Center の中核コンポーネントです:

認証と認可: IAM Identity Center は、ID プロバイダーを通じてユーザーを認証し、適切な権限を付与する。
多要素認証（MFA）**: MFA を適用することで、セキュリティを強化する。
暗号化通信**: ユーザー認証、アクセス許可のリクエスト、すべての通信は暗号化される。
監査ログ**: ユーザーアクティビティのログを記録し、セキュリティ監査を可能にする。

これらのセキュリティ機能により、AWS 環境への安全なアクセスを実現する。

5. 料金形態¶

AWS IAM Identity Center 自体には追加料金はかかりません。
このサービスは、AWS アカウントの利用料金に含まれています。

無料: IAM Identity Center サービス自体は無料で使用できる。
関連サービスの料金: AWS リソースへのアクセス時に、関連サービスの利用料金が発生する場合がある（例: EC2、S3 など）。

6. よくあるアーキテクチャ・設計パターン¶

一般的なパターンは以下の通りです:

複数 AWS アカウントの一元管理: AWS Organizations と連携し、複数の AWS アカウントへのアクセスを IAM Identity Center で一元的に管理。
IdP 連携: 既存の Active Directory や Okta などの IdP と連携して、企業のユーザーアカウントを AWS に活用。
多要素認証の適用: IAM Identity Center で MFA を設定し、AWS リソースへのアクセスセキュリティを強化。
SAML 連携: SAML 2.0 対応のアプリケーションと連携し、AWS リソースへのシングルサインオンを実現。

7. 設定・デプロイ手順（ハンズオン例）¶

AWS Management Console で IAM Identity Center のサービスを選択し、有効化。
ID ソース（AWS IAM Identity Center directory、外部 ID プロバイダー）を選択。
ユーザーやグループを IAM Identity Center に追加またはインポート。
ユーザーやグループに AWS アカウントへのアクセス権限を設定（Permission Sets）。
MFA を設定し、セキュリティを強化。
ユーザーが IAM Identity Center にログインし、割り当てられた AWS アカウントにアクセスできることを確認。

8. 試験で問われやすいポイント¶

8.1 シングルサインオン (SSO) の概念¶

SSO: 一度の認証で複数の AWS アカウントやアプリケーションにアクセス可能。
利点: ユーザーの利便性向上、パスワード管理の簡略化、セキュリティ強化。

8.2 ID プロバイダー (IdP) との連携¶

連携: Microsoft Active Directory、Okta、Azure AD などの既存の IdP と連携。
プロトコル: SAML 2.0、SCIM などの標準プロトコルを使用。

8.3 AWS Organizations との統合¶

統合: 組織内のすべての AWS アカウントへのアクセスを一元管理。
メリット: 管理の一元化、アクセス制御の簡素化。

8.4 アクセス制御と権限管理¶

Permission Sets: AWS アカウントへのアクセス権限を定義、割り当て。
AWS Managed Policies: AWS が提供する定義済みポリシー。
カスタムポリシー: 柔軟なアクセス許可設定。

8.5 多要素認証 (MFA)¶

MFA: パスワードに加えて追加の認証要素を要求し、セキュリティを強化。
MFA オプション: 仮想 MFA、物理 MFA、SMS など。

8.6 料金体系¶

IAM Identity Center 自体: 無料。
関連サービス: AWS リソースの利用料金は発生。
試験問題では、以下がよく問われる。
「IAM Identity Center の主な機能は？」
「IdP 連携の仕組みは？」
「AWS Organizations との統合方法は？」
「料金体系は？」

8.7 試験で頻出となる具体的な問われ方と答え¶

Q: AWS IAM Identity Center の主な機能は？
A: 複数の AWS アカウントやアプリケーションへのシングルサインオン、IdP 連携、一元的なアクセス管理。
Q: IAM Identity Center で利用可能な ID プロバイダーとの連携プロトコルは？
A: SAML 2.0、SCIM。
Q: IAM Identity Center は AWS Organizations とどのように連携するか？
A: 組織内の AWS アカウント全体に対して、アクセス権限を一元管理する。
Q: IAM Identity Center の利用料金は？
A: サービス自体は無料。関連サービスの利用料金が発生する。
Q: IAM Identity Center で多要素認証（MFA）を設定する目的は？
A: セキュリティを強化し、不正アクセスを防ぐため。
Q: IAM Identity Center で AWS アカウントへのアクセス許可を付与するために使用する機能は？
A: Permission Sets。