📌 結論:IAM Identity Center で実現できること
IAM Identity Centerは、AWS Organizations配下の
すべてのAWSアカウントへのアクセスを1箇所で管理できるサービスです。
ユーザーは1回のサインイン(SSO)で、
許可されたすべてのアカウントにアクセスできるようになります。
🏢 オフィスビルの「中央受付」で理解する!
ここで1回認証すれば、許可されたすべてのフロアに行ける
(経営陣専用)
(営業部門)
(開発部門)
🚫 従来の方法(各フロアに個別受付)
問題点:
• 各AWSアカウントごとにIAMユーザーを作成
• 各アカウントのパスワードを個別に管理
• ユーザーが10アカウント使うなら10個のパスワード
• 退職時に各アカウントで個別削除が必要
→ まるで各フロアごとに受付があり、毎回身分証明するようなもの!
✅ IAM Identity Center(中央受付方式)
メリット:
• 1つのユーザー名・パスワードで全アカウントにアクセス
• 中央で全ユーザーの権限を一元管理
• 退職時は中央受付で1回削除するだけ
• MFAも1箇所で設定すればOK
→ 中央受付で入館証をもらえば、許可されたフロアすべてに行ける!
🏗️ IAM Identity Center のアーキテクチャ
📝 設定手順フロー
🏢 AWS Organizations を有効化
まず管理アカウントでOrganizationsを有効化し、メンバーアカウントを追加
🔐 IAM Identity Center を有効化
管理アカウントのコンソールからIAM Identity Centerを有効化
👥 ユーザー/グループを作成
Identity Center内でユーザーを作成、または外部IdPと連携
🔑 権限セットを作成
AWS管理ポリシーまたはカスタムポリシーで権限セットを定義
🎯 アカウントに権限を割り当て
「ユーザー/グループ」×「アカウント」×「権限セット」を紐付け
設定完了!SSOポータルからアクセス可能に
ユーザーは専用ポータルURL(https://xxxxx.awsapps.com/start)からサインイン
🖥️ ユーザー体験:SSOポータル画面
こんにちは、田中さん 👋
アクセス可能なAWSアカウントを選択してください
🎯 ポイント:1回サインインするだけで、
自分に許可されたすべてのアカウント・権限が一覧表示される!
クリックするだけで各アカウントのコンソールに直接アクセス可能
📊 従来のIAMユーザー vs IAM Identity Center
| 比較項目 | 🔴 従来のIAMユーザー | 🟢 IAM Identity Center |
|---|---|---|
| 📍 ユーザー管理場所 | 各アカウントで個別管理 ❌ 分散 |
管理アカウントで一元管理 ✅ 集中 |
| 🔑 パスワード数 | アカウント数 × ユーザー数 ❌ 大量 |
ユーザー1人につき1つ ✅ シンプル |
| 🚪 ログイン方法 | 各アカウントに個別ログイン ❌ 面倒 |
1回のSSOで全アカウント ✅ 便利 |
| 👤 退職者対応 | 各アカウントで個別削除 ❌ 漏れリスク |
1箇所で削除すれば完了 ✅ 安全 |
| 🔒 MFA管理 | 各アカウントで個別設定 ⚠️ 設定漏れ |
1箇所でMFA設定 ✅ 統一 |
| 🏢 外部IdP連携 | 各アカウントで個別設定 ❌ 複雑 |
1箇所で設定すれば全体に適用 ✅ 簡単 |
| 📋 監査・コンプライアンス | 各アカウントのログを集約 ⚠️ 手間 |
CloudTrailで一元記録 ✅ 効率的 |
⚠️ ベストプラクティス
「開発者グループ」「管理者グループ」などを作成し、ユーザーをグループに追加することで管理が楽になる。
1箇所で設定すれば全アカウントへのアクセスに適用されるため、セキュリティが大幅に向上。
「開発者には開発アカウントのみ」「監査人には閲覧のみ」など役割に応じた権限設計を。
誤操作やセキュリティインシデントのリスクが高まるため、必要な人にだけ必要な権限を。
管理が二重になり、セキュリティホールの原因になる可能性がある。
本番環境は短め(1時間)、開発環境は長め(8時間)など、リスクに応じた設定を。
❓ よくある質問
IAMユーザーは「その建物専用の鍵」、IAM Identity Centerは「ビル全体の入館証」のイメージです。
Organizations配下に複数アカウントがある場合は、IAM Identity Centerを使うのがベストプラクティスです。
ただし、ベストプラクティスとしては、IAM Identity Centerへの移行後、不要なIAMユーザーを段階的に削除することをお勧めします。緊急用のルートアカウントアクセスなど、特別な用途を除いてIAMユーザーの使用は最小限に。
• AWS Managed Microsoft ADと直接連携
• 外部SAML 2.0 IdP(Okta、Azure AD、Google Workspaceなど)と連携
• SCIMによるユーザー自動プロビジョニング
社内のユーザー管理システムと連携すれば、入退社に伴うアカウント管理が自動化できます。
aws configure sso コマンドを使用することで、AWS CLIでもSSOログインが可能です。ブラウザが開いて認証後、一時的な認証情報が自動的に設定されます。
長期的なアクセスキーを保存する必要がなくなるため、セキュリティが向上します。
🎓 まとめ
1回の認証で全フロアにアクセス
役割に応じた権限を効率的に管理
退職者対応も漏れなく安全
監査ログも集中管理