🧢

AWS IAM Identity Centerとは?初心者向けにやさしく解説

に公開
AWS
初心者
Security
IAM
AWS IAM Identity Center
idea

はじめに

本記事では、 AWS IAM Identity Center(以下、IIC) について、以下の3点に絞って整理したうえで簡潔にまとめてみました。

  • IICとは何か
  • IAMとはどう違うのか
  • 実際に導入することでどのようなメリットがあるか

IICの概要について知りたい、といった方のご参考になれば幸いです。

AWS IAM Identity Center(IIC)とは

AWS IAM Identity Center(IIC) とは一言で言うと、

「AWSアカウントへのログインを一元化するためのサービス」

です。


IICアクセスポータルを経由してAWSアカウントへアクセスする流れ

特に複数のAWSアカウントを利用する環境で効果を発揮するサービスで、IICが導入された環境でAWSアカウントにログインする場合、各AWSアカウント上に用意されたIAMユーザーではなく、まずは IICが管理するユーザー(以下、IICユーザー) で、 IICが提供する専用のポータル(以下、IICアクセスポータル) にログインします。

その後、ユーザーは当該ポータル上でアクセスするAWSアカウントを選択し、そのアカウント内で利用可能な権限セットを選択してアクセスを行う形になります。

これにより、

  • パスワードやMFAなどの認証情報を集中管理できる
  • アカウント間の権限付与(権限セット)を統一できる
  • ログイン方法をまとめて管理できる

といった運用が可能になり、マルチアカウント環境の運用を大幅に簡略化することができます。

AWSは近年、IAMユーザーの利用を最小限とし、IICを使ってログイン管理を行うことを推奨しています。

理由として、

  • AWSアカウントが増えるほどIAMユーザー管理が破綻しやすい
  • 権限の付与・棚卸しがアカウントごとだと運用が回らない
  • MFAやパスワードのルールを統一できず、セキュリティリスクになる

といった実務上の課題があります。

IICはこれらをまとめて解決し、 「ログイン管理の一元化」+「権限運用の標準化」 を実現するサービスです。

AWS IAM Identity Center(IIC)とIAMの違い

IICとIAMは役割が全く異なり、

  • IICは “人がAWSにログインする仕組み” を統合するサービス(認証)
  • IAMは “AWSリソースに対するアクセス権限” を設定するサービス(認可)

という分担になっています。

IICとIAMの細かい違いについては、それぞれ以下の通りです。

項目 IIC IAM
主な役割 ログインの入り口をまとめる(SSO) AWSリソースに対する権限管理
管理するもの ユーザー、権限セット、AWSアカウントへの割当 IAMユーザー、IAMロール、IAMポリシー
想定環境 マルチアカウント 単一アカウント〜全環境

認証と認可の流れをまとめると、

1. ユーザーはIICアクセスポータルにログインする(認証)
2. ログイン後にIAMロールを一時的に引き受けて権限を得る(認可)

という形になります。

IICが認証を統合し、IAMロールが権限の実体を持つ構造のため、 「認証はIIC、権限管理はIAM」 という役割分担で動いています。

AWS IAM Identity Center(IIC)導入のメリット

IICを導入することによるメリットは、主に以下の6つが考えられます。

1. ログイン方法の統一(SSO)

  • ユーザーは1つのIICアクセスポータルにログインするだけで、複数のAWSアカウントにアクセス可能
  • パスワード・MFA設定も一括管理が可能

2. 権限管理の標準化(権限セット)

  • AWSアカウントごとのIAMポリシーの個別管理が不要
  • 権限セットを1つ定義するだけで、複数のAWSアカウントに同じ権限を割り当てられる

3. アカウント追加・ユーザー追加の運用が圧倒的に楽

  • 新しいAWSアカウントを追加しても、IICで割り当てるだけで即利用可能
  • 新しいユーザーもIICで作れば、すぐに全アカウントへ展開

従来のIAMユーザー方式との比較

  • 従来:10個のAWSアカウントに1人追加 → 10回のIAMユーザー作成作業
  • IIC:1回のユーザー作成 + 権限セット割り当てのみで完了

4. セキュリティ強化

  • 全ユーザーに対してMFA強制が可能
  • IICユーザーは長期アクセスキーを使わないので漏えいリスクが減る
  • 権限の棚卸しがしやすい

5. 外部IdPとの連携が容易(Azure AD/Google Workspaceなど)

  • 企業で既に使っているID管理基盤と統合できる

6. 監査・コンプライアンス対応が容易

  • どのユーザーがいつログインしたか、一元的に確認が可能
  • ログインの入口が1つなのでトレーサビリティが高い

AWS IAM Identity Center(IIC)導入時の注意点

IICは非常に便利ですが、以下の点には注意が必要です。

  • AWS Organizations必須: IICの使用にはAWS Organizationsを有効化していることが前提(単一アカウント運用でも、Organizationsの設定は必要)
  • 管理アカウントでの設定: IICは組織の管理アカウントで有効化する必要がある
  • 一部用途ではIAMユーザーが必要: CI/CDパイプラインなど、長期クレデンシャルが必要な場合は引き続きIAMユーザーを使用

まとめ

以上、 AWS IAM Identity Center(IIC) についてまとめてみました。

AWSを本格的に活用していく場合、IICを採用するメリットは非常に大きいと思います。

IICについてより詳しく知りたい場合は、公式のドキュメント(AWS IAM Identity Center)にも是非目を通してみてください。

Discussion