IAM Identity Center について
nukopy公式ドキュメントいきなり読んでもわからんだったのでやさしめのやつを。
- 【AWS】【初心者】IAM Identity Center とは?IAM Identity Center ユーザーって何者?
nukopy- IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)
nukopyIAM Identity Centerとは
AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。
前提として、AWS Organizationsを使用していることが条件となるため、AWS Organizationsを使っていない場合はIAM Identity Centerは使えません。
シングルサインオンは認証関連の連携を行う必要があり、個人的に嫌煙していたのですが、IAM Identity Centerは、単純な構成で使う分には簡単な設定を行うだけで複数アカウントの管理が行えるので、そのような環境の場合はぜひ導入を検討してみてください。
IAM Identity Center の構成
図を見て以下のような理解ができた。
1 つの「IAM Identity Center ユーザ」というユーザを作れば、1 つの認証情報で複数の「IAM ユーザ」(≠IAM Identity Center ユーザ)へログインできるサービスってことか。
- 図の左側の「ユーザ」
- IAM Identity Center のユーザ
- 図の右側の「アカウント」
- IAM ユーザ
AWS Organizationsで以下のようなアカウントを管理している場合、IAM Identity Centerを導入することで、いちいちアカウントごとのログインページからログインしたり、あるアカウントからスイッチロールしたりしなくても、IAM Identity Centerのポータル画面から簡単に複数のアカウントにログインすることができるようになります。
nukopy許可セット
許可セットはIAMユーザやグループに割り当てるIAMポリシーと同等の役割を持つ機能となりますが、違いとしては、1つの許可セットで複数のアカウントを結びつけることができるため、各アカウント側でいちいちAdministratorAccessポリシーやReadOnlyAccessポリシー等を作成する必要がありません。
また、ユーザやグループに許可セットを割り当てる際、複数の許可セットを割り当てることもできるため、例えば設定作業用のフルアクセスポリシーと設定確認用のリードオンリーアクセスポリシー両方を付与して、作業時以外はリードオンリーアクセス権限を持つ許可セットでアクセスし、作業時のみフルアクセスを持つ許可セットでアクセスするといったことも簡単に実装可能です。
今までは各アカウントごとにIAMポリシーを作成していたのが、IAM Identity Centerで集約管理することができるので、権限設定の見通しもよく、あるアカウントだけ権限設定を忘れたといった事態も軽減できるかと思います。
nukopy- IAM Identity Center でマルチアカウントでも楽々ログイン!
