IAM Identity Center vs IAM vs Cognito
「誰が」「どこで」「何のために」認証するのか?
AWS認証サービスの違いを「大型リゾートホテルチェーン」に例えてみましょう。
誰が
、
どこへ
、
何のために
アクセスするかで使うサービスが変わります。
シナリオ:
あなたはホテルチェーンの社員。本社で発行された
1枚の社員証
で、全国どの支店にも入れる。
東京本社、大阪支店、福岡支店...どこでも同じカードでアクセス可能!
🎯
ポイント:
社員(従業員)が複数の拠点(AWSアカウント)に統一的にアクセス
シナリオ:
ホテル内に入った後、
各部屋やエリアごとに別の鍵
が必要。
清掃スタッフは客室のみ、シェフは厨房のみ、マネージャーは全エリアOK。
🎯
ポイント:
建物内(1つのAWSアカウント)での細かい権限管理
シナリオ:
ホテルの
お客様
がスマホアプリで予約、チェックイン、ルームサービス注文。
GoogleやFacebookでログインもOK!何百万人のお客様を管理。
🎯
ポイント:
外部のお客様(エンドユーザー)向けの認証システム
| 比較項目 | 🏢 IAM Identity Center | 🔑 IAM | 📱 Cognito |
|---|---|---|---|
| 主な利用者 | 社員・従業員・パートナー | AWSリソース・サービス間 | 一般ユーザー・顧客 |
| 管理対象 | 複数のAWSアカウント を横断 | 1つのAWSアカウント内 | アプリケーション のユーザー |
| ユーザー規模 | 数十〜数千人(従業員数) | 数人〜数百人(IAMユーザー) | 数百万人 まで対応 |
| シングルサインオン(SSO) | ✅ 標準機能 | ❌ 非対応 | ✅ アプリ間で可能 |
|
外部IdP連携
(Active Directory等) |
✅ 対応 | ⚠️ フェデレーション設定必要 | ✅ 対応 |
|
ソーシャルログイン
(Google/Facebook等) |
❌ 非対応 | ❌ 非対応 | ✅ 標準機能 |
| MFA(多要素認証) | ✅ 対応 | ✅ 対応 | ✅ 対応 |
| 一時的認証情報 | ✅ 自動発行 | STS で発行可能 | ✅ 自動発行 |
| AWS Organizations連携 | ✅ 必須・最適 | 個別アカウントで動作 | 不要 |
| セルフサービス登録 | ❌ 管理者が登録 | ❌ 管理者が登録 | ✅ ユーザー自身で登録可 |
| 料金 | 無料 | 無料 | MAU課金(無料枠あり) |
複数アカウントへのSSOが必要なら
IAM Identity Center!
AWSリソース間の権限制御には
IAMロール・ポリシー!
アプリのログイン機能には
Cognito User Pool!
「従業員」
が
「複数のAWSアカウント」
に
「1つのIDでSSO」
「サービス・リソース」
が
「1つのアカウント内」
で
「きめ細かい権限制御」
「一般ユーザー」
が
「アプリケーション」
に
「ログイン・登録」
Created by SSuzuki1063
AWS SAP Learning Resources