企業のクラウド活用が拡大するにつれて、増え続けるAWSアカウントやSaaSアプリケーションのID管理、そしてアクセス権限の制御は、セキュリティ担当者やエンジニアにとって大きな課題となっています。「AWS IAM Identity Center」は、旧称「AWS Single Sign-On (AWS SSO)」として知られていたサービスの名称変更後の姿であり、AWS Organizationsと連携してマルチアカウント環境へのシングルサインオンを一元的に提供する重要なサービスです。
本サービスを活用することで、ユーザーは単一の認証情報を使って、割り当てられたすべてのAWSアカウントやビジネスアプリケーションへシームレスにアクセスできるようになります。結論として、現在のAWSにおけるID管理のベストプラクティスは、個別のIAMユーザーを作成して管理する従来の方法から、AWS IAM Identity Centerを利用した集中的なID管理へとシフトしています。これにより、管理負荷の大幅な削減と、多要素認証(MFA)の強制適用などによるセキュリティレベルの向上が同時に実現可能です。
この記事では、AWS IAM Identity Centerの基礎知識から導入メリット、具体的な設定手順、そして安全な運用のための権限設計までを網羅的に解説します。これからID統合管理を始める方や、旧AWS SSOからの移行・運用最適化を検討している方にとって、実務に即したガイドとなる内容をまとめました。
この記事で分かること
- AWS IAM Identity Centerの仕組みと旧AWS SSOからの変更点
- 外部IdP連携やアプリケーション割り当てなどの主要機能
- MFAやセッション管理などセキュリティを強化する推奨設定
- 最小権限の原則に基づいた権限セット設計と運用ベストプラクティス
AWS IAM Identity Centerの概要と旧SSOからの進化
クラウド環境の規模が拡大し、複数のAWSアカウントやSaaSアプリケーションを業務で利用することが一般的になった現在、ID管理とアクセス制御の複雑さは大きな課題となっています。AWS IAM Identity Centerは、こうした課題を解決するために設計された、AWSにおける推奨のID管理ソリューションです。
本章では、AWS IAM Identity Centerの基本的な役割から、前身であるAWS Single Sign-On (AWS SSO) との関係性、そしてなぜ現在このサービスが利用されているのかについて詳しく解説します。
AWS IAM Identity Centerとは
AWS IAM Identity Centerは、AWSアカウントやビジネスアプリケーションへのアクセスを一元的に管理するためのサービスです。AWS Organizationsと連携することで、組織内の複数のAWSアカウントに対して、ユーザーは単一の認証情報でログイン(シングルサインオン)が可能になります。
管理者は、ユーザーやグループに対して「どのアカウントの」「どのリソースに」「どのような権限で」アクセスさせるかを一箇所でコントロールできます。また、AWSマネジメントコンソールだけでなく、SalesforceやBox、Microsoft 365といった外部のSaaSアプリケーションへのSSOもサポートしています。
主な特徴は以下の通りです。
- マルチアカウントアクセスの一元管理:AWS Organizations配下の全アカウントへのアクセス権限を統合的に管理できます。
- 外部IDプロバイダー(IdP)との連携:Microsoft Entra ID (旧Azure AD) やOkta、Google Workspaceなどの既存のID基盤を利用して認証を行えます。
- ユーザビリティの向上:ユーザーは専用のポータル画面から、許可されたすべてのアカウントやアプリへワンクリックでアクセスできます。
旧AWS SSOとの違いと名称変更の背景
AWS IAM Identity Centerは、以前「AWS Single Sign-On (AWS SSO)」という名称で提供されていたサービスの後継にあたります。2022年7月に、AWSはサービスの名称を現在の「AWS IAM Identity Center」に変更しました。
この変更は、単なる「シングルサインオン機能」の提供にとどまらず、AWS環境におけるIDとアクセス管理の中心的なハブ(Identity Center)としての役割を明確にするために行われました。重要な点として、名称は変更されましたが、基盤となる技術やAPI、設定内容はAWS SSOと完全な互換性を持っています。
旧AWS SSOからの移行や違いについて、以下の表に整理しました。
| 比較項目 | AWS Single Sign-On (旧) | AWS IAM Identity Center (新) |
|---|---|---|
| サービスの位置づけ | SSO機能の提供 | ID管理とアクセス制御の統合ハブ |
| 既存設定への影響 | - | 設定は自動的に引き継がれ変更不要 |
| APIエンドポイント | AWS SSO API | 互換性を維持(旧APIも継続利用可能) |
| 利用料金 | 追加料金なし | 追加料金なし |
つまり、以前AWS SSOを利用していたユーザーは、特別な移行作業を行うことなく、そのままIAM Identity Centerを利用し続けることができます。コンソールの名称やUIの一部が変更されていますが、機能的な後退はなく、むしろセキュリティ機能や管理機能が順次強化されています。
従来のIAMユーザー管理との違いと推奨される理由
AWSの利用開始当初は、各AWSアカウント内で個別に「IAMユーザー」を作成し、アクセスキーやパスワードを管理するのが一般的でした。しかし、管理するAWSアカウントの数が増えると、この方法には限界が生じます。
IAM Identity Centerを利用することで、以下のようなメリットが生まれ、従来のIAMユーザー管理における課題を解決できます。
- 認証情報の散乱を防止:アカウントごとにパスワードを管理する必要がなくなり、セキュリティリスクが低減します。
- 運用の効率化:人事異動や退職時の権限変更・削除を、一箇所の管理コンソールまたは連携したIdP側で行うだけで、全AWSアカウントに即座に反映できます。
- 短期的な認証情報の利用:IAM Identity Centerによるアクセスは一時的な認証情報(Temporary Security Credentials)を使用するため、長期的なアクセスキーの漏洩リスクを排除できます。
現在、AWSではマルチアカウント環境における人間(Human)のアクセス管理において、IAMユーザーの作成ではなく、IAM Identity Centerの利用を強く推奨しています。
AWS IAM Identity Centerの主要機能と特徴
AWS IAM Identity Center(旧 AWS Single Sign-On)は、組織内の複数のAWSアカウントやビジネスアプリケーションへのアクセスを一元的に管理するためのサービスです。管理者は単一のダッシュボードからユーザーとグループを作成・管理し、適切な権限を割り当てることができます。これにより、運用負荷を大幅に軽減しながら、セキュリティガバナンスを強化することが可能です。
ここでは、IAM Identity Centerの中核となる主要な機能と、それらがどのように組織のアクセス管理を効率化するかについて解説します。
アプリケーション割り当てとSaaS連携
IAM Identity Centerの大きな特徴の一つは、AWSマネジメントコンソールへのアクセスだけでなく、外部のSaaS(Software as a Service)アプリケーションへのシングルサインオン(SSO)も統合できる点です。Salesforce、Box、Microsoft 365など、SAML 2.0をサポートする多くのビジネスアプリケーションに対応しています。
AWSでは、数多くの一般的なアプリケーション向けに事前設定された設定を提供しており、管理者はカタログから選択するだけで容易に接続設定を行えます。ユーザーは専用のユーザーポータルにログインするだけで、割り当てられたすべてのAWSアカウントとアプリケーションへワンクリックでアクセス可能になります。
- AWSアカウントへの一元的なアクセス権限付与
- SAML 2.0対応アプリケーションへのSSO設定
- ユーザー専用ポータルによる利便性の向上
- カスタムアプリケーションへの接続サポート
属性ベースのアクセスコントロール(ABAC)
従来のロールベースのアクセスコントロール(RBAC)に加え、IAM Identity Centerでは属性ベースのアクセスコントロール(ABAC)をサポートしています。ABACは、ユーザーの部署、役職、チーム名などの「属性(タグ)」に基づいてアクセス権限を動的に決定する方式です。
例えば、「Department」という属性が「Development」であるユーザーに対してのみ、開発環境のリソースへのアクセスを許可するといったポリシーを作成できます。これにより、新しいユーザーが追加された際も、適切な属性を付与するだけで自動的に権限が適用されるため、個別に権限セットを更新する手間が省けます。
以下の表は、従来のRBACとABACの特徴を比較したものです。
| 比較項目 | ロールベース (RBAC) | 属性ベース (ABAC) |
|---|---|---|
| 権限の定義基準 | 職務や役割ごとに作成したロール | ユーザーやリソースに付与された属性(タグ) |
| スケーラビリティ | ロール数が増加し管理が複雑になりやすい | 属性の組み合わせで制御するためポリシー数を抑制できる |
| 更新の手間 | 新しい権限が必要な場合、ポリシー修正が必要 | 属性を変更するだけで権限が自動的に変わる |
信頼できるIDプロバイダーとの接続オプション
IAM Identity Centerは、IDの管理場所(IDソース)として複数のオプションを柔軟に選択できます。AWS内で直接ユーザーを管理することも可能ですが、多くの企業では既存のIDプロバイダー(IdP)と連携して運用しています。
Microsoft Entra ID(旧 Azure AD)、Okta、Ping Identityなどの外部IdPと連携することで、既存のユーザー認証基盤をそのまま活用できます。特にSCIM(System for Cross-domain Identity Management)プロトコルに対応したIdPを使用すれば、外部IdP側でのユーザー作成や削除が自動的にIAM Identity Centerへ同期(自動プロビジョニング)されるため、入退社時のアカウント管理漏れを防ぐことができます。
利用可能な主なIDソースオプションは以下の通りです。
- IAM Identity Center ディレクトリ:AWS上で直接ユーザーとグループを作成・管理するデフォルトのストア。
- Active Directory:AWS Managed Microsoft ADまたはAD Connectorを使用して、オンプレミスのADと連携。
- 外部IDプロバイダー:SAML 2.0を使用した外部IdPとの信頼関係構築およびSCIMによる自動同期。
セキュリティ強化のための推奨設定
AWS IAM Identity Center(旧 AWS SSO)を導入することで、複数のAWSアカウントやアプリケーションへのアクセスを一元管理できるようになりますが、これは同時に「単一の認証情報が漏洩した場合のリスクが高まる」ことも意味します。そのため、デフォルト設定のまま運用するのではなく、組織のセキュリティポリシーに合わせた強固な設定を行うことが不可欠です。
ここでは、不正アクセスを防ぐための最も効果的な手段である多要素認証(MFA)の強制と、リスクを最小限に抑えるためのセッション管理について解説します。
多要素認証(MFA)の設定と強制ポリシー
セキュリティ強化において、パスワードのみの認証に依存することは推奨されません。IAM Identity Centerでは、ユーザーがポータルにサインインする際にMFAを要求するように設定できます。
MFAの設定方法は、IAM Identity Centerで利用している「アイデンティティソース(IDの保存場所)」によって異なります。
- Identity Centerディレクトリを利用する場合:AWSマネジメントコンソール上でMFAの強制ポリシーを直接設定します。
- 外部IdP(Okta, Azure ADなど)を利用する場合:通常、外部IdP側でMFAを強制する設定を行い、AWS側では認証済みのアサーションを受け取る構成とします。
Identity Centerディレクトリを利用している場合、MFAの強制範囲を柔軟に定義できます。組織の要件に合わせて、以下の設定モードから適切なものを選択してください。
| 設定モード | 動作の概要 | 推奨される利用シーン |
|---|---|---|
| 常時オン(Always-on) | サインイン時にすべてのユーザーに対して常にMFAを要求します。 | セキュリティ要件が厳格な本番環境や、管理者権限を持つユーザー。 |
| コンテキスト対応(Context-aware) | ユーザーのサインイン状況(新しいデバイス、未知の場所など)に基づいて、リスクが高いと判断された場合のみMFAを要求します。 | 利便性とセキュリティのバランスを重視する場合。 |
| カスタム設定 | 特定のユーザーやグループに対してのみMFAを要求するよう個別に指定します。 | 段階的にMFAを導入する移行期間中など。 |
また、IAM Identity Centerでは、FIDO2認定のセキュリティキー(YubiKeyなど)や、モバイルデバイス上の認証アプリ(Google Authenticatorなど)など、複数のMFAデバイスタイプをサポートしています。フィッシング耐性の高いFIDO2セキュリティキーの利用を推奨しますが、コストや配布の手間を考慮し、まずは認証アプリの導入から始めるのも有効な手段です。
設定の詳細については、AWS公式ドキュメント:多要素認証の有効化もあわせて参照してください。
セッション時間の管理とタイムアウト設定
一度サインインしたユーザーが、いつまでもアクセス権を持ち続ける状態はセキュリティリスクとなります。離席時の不正操作や、デバイス紛失時のリスクを軽減するために、適切なセッション時間を設定する必要があります。
IAM Identity Centerにおけるセッション管理には、大きく分けて「アクセスポータル自体のセッション」と「各AWSアカウントへアクセスする際のセッション」の2種類が存在します。
アクセスポータルのセッション期間
ユーザーがAWSアクセスポータル(SSOのログイン画面)にサインインしてから、再認証が必要になるまでの時間を指します。デフォルトでは8時間に設定されていますが、最大90日まで延長可能です。しかし、セキュリティの観点からは、業務時間に合わせて8時間から12時間程度に設定するのが一般的です。
権限セット(Permission Set)のセッション期間
ユーザーがポータルから特定のAWSアカウントへ「スイッチロール」した際、その一時的な権限が有効な時間を指します。この設定は、作成した「権限セット」ごとに個別に定義できます。
- 設定可能範囲:1時間 〜 12時間
- デフォルト設定:1時間
開発者が長時間作業を行う環境では、頻繁なセッション切れが生産性を低下させるため、長め(例:8時間〜12時間)に設定することが許容される場合があります。一方で、強力な権限を持つ管理者(AdministratorAccessなど)向けの権限セットについては、万が一の乗っ取り被害を最小限にするため、短めの時間に留めておくことを検討してください。
適切なセッション時間は、利便性と安全性のトレードオフとなります。組織内の役割やアクセスするデータの重要度に応じて、権限セットごとにメリハリのある設定を行うことが重要です。
AWS IAM Identity Center運用時のベストプラクティス
AWS IAM Identity Center(旧 AWS SSO)を導入するだけでは、組織のセキュリティを完全に担保することはできません。運用フェーズにおいて、適切な権限管理と継続的な監視を行うことが、クラウド環境を安全に保つための鍵となります。ここでは、セキュリティリスクを最小限に抑えつつ、運用効率を高めるための具体的なベストプラクティスを解説します。
最小権限の原則に基づいた権限セット設計
セキュリティの基本である「最小権限の原則」は、IAM Identity Centerの運用においても最も重要な指針です。これは、ユーザーやアプリケーションに対して、業務を遂行するために必要不可欠な権限のみを与え、それ以上の過剰なアクセス権を持たせないという考え方です。
IAM Identity Centerでは、「権限セット(Permission Sets)」を使用してアクセス許可を定義します。権限セットを作成する際は、以下のポイントを考慮して設計を行うことが推奨されます。
- 職務機能に基づいた権限の定義:開発者、運用担当者、監査人など、役割ごとに専用の権限セットを作成します。
- AWS管理ポリシーの活用:「AdministratorAccess」のような強力なポリシーではなく、「ViewOnlyAccess」や「PowerUserAccess」など、用途に合わせたポリシーを選択します。
- グループに対する権限割り当て:個々のユーザーに直接権限を割り当てるのではなく、グループに対して権限セットを割り当てることで、人事異動や組織変更時の管理コストを削減します。
また、権限セットを設計する際には、カスタム許可ポリシーやインラインポリシーを組み合わせて、特定のリソースへのアクセスのみを許可するなど、きめ細かな制御を行うことも可能です。以下の表は、一般的な職務と推奨される権限セットの構成例です。
| 職務ロール | 推奨される権限セットの方針 | 主なアクセス範囲 |
|---|---|---|
| 管理者 | AdministratorAccess | すべてのアクションとリソースへのフルアクセス(特権IDとして厳格に管理) |
| 開発者 | PowerUserAccess | IAMの操作を除く、開発に必要なAWSサービスへのフルアクセス |
| 監査・経理 | ViewOnlyAccess または Billing | リソースの閲覧や請求情報の確認のみ可能で、変更操作は不可 |
運用開始後も、定期的に権限セットの内容を見直し、不要になった権限が残っていないかを確認する「棚卸し」のプロセスを設けることが重要です。過剰な権限はセキュリティインシデント発生時の被害拡大に直結するため、常に必要最小限の状態を維持するよう心がけてください。
CloudTrailによるアクティビティの監査とログ監視
不正アクセスの検知や、インシデント発生時の原因究明を行うためには、AWS CloudTrailを用いたログの記録と監視が欠かせません。IAM Identity Centerで行われた操作はCloudTrailイベントとして記録されるため、これらを分析することで「誰が」「いつ」「どのAWSアカウントに対して」「どのような操作を行ったか」を追跡できます。
特に監視すべき重要なイベントには以下のようなものがあります。
- サインインイベント:ユーザーがAWSアクセスポータルにサインインした記録。
- フェデレーションイベント:ユーザーが特定のAWSアカウントやアプリケーションにアクセスするためにロールを引き受けた記録。
- 管理操作イベント:ユーザーの作成、グループへの追加、権限セットの変更などの設定変更記録。
これらのログは、単に保存しておくだけでなく、Amazon CloudWatch LogsやAmazon EventBridgeと連携させて、異常なアクティビティを検知した際に管理者に通知が届く仕組みを構築することが推奨されます。例えば、通常業務時間外のアクセスや、許可されていない地域からのサインイン試行などをアラートのトリガーとして設定します。
IAM Identity Centerのログは、管理アカウント(または委任された管理者アカウント)のCloudTrailだけでなく、各メンバーアカウントのCloudTrailにも、そのアカウント内で発生したアクション(例:スイッチロール後の操作)が記録されます。したがって、組織全体のセキュリティ状況を把握するためには、すべてのAWSアカウントでCloudTrailを有効化し、ログを一元的に集約して管理することがベストプラクティスです。
AWS IAM Identity Centerに関するよくある質問
AWS IAM Identity Center(旧 AWS SSO)の導入や運用において、エンジニアや管理者から頻繁に寄せられる疑問点をQ&A形式で解説します。仕様の理解不足によるトラブルを防ぐため、以下のポイントを事前に押さえておくことが重要です。
AWS IAM Identity Centerはリージョンごとに設定が必要か
いいえ、リージョンごとの設定は不要です。AWS IAM Identity Centerは、組織全体で単一のリージョン(ホームリージョン)でのみ有効化して利用するサービスです。
一度ホームリージョンで設定を行えば、その設定は全リージョンのAWSアカウントへのアクセス管理に適用されます。管理者は一箇所のコンソールから、組織内のすべてのアカウントに対する権限を一元管理できるため、運用負荷を大幅に削減できます。
IAM Identity Centerの権限セット変更は即座に反映されるか
権限セット(Permission Set)の内容を変更した場合、その変更は関連付けられているAWSアカウント内のIAMロールに対してプロビジョニングされます。通常、この反映プロセスは非常に高速に行われますが、厳密な意味での「即時」ではなく、結果整合性(Eventual Consistency)のモデルに基づきます。
変更が各アカウントに伝播するまで数秒から数分程度のタイムラグが発生する場合があるため、緊急の権限剥奪などを行う際は、セッションの無効化も併せて検討する必要があります。
スイッチロールとIAM Identity Centerの違いは何か
従来のIAMユーザーを使用した「スイッチロール」と、IAM Identity Centerを使用したログインには、管理面やユーザー体験において大きな違いがあります。主な違いは以下の通りです。
| 比較項目 | AWS IAM Identity Center | スイッチロール (IAMユーザー) |
|---|---|---|
| ユーザー管理 | 一元管理 (Identity Center内または外部IdP) | 各AWSアカウントごとにIAMユーザーを作成・管理 |
| ログイン方法 | AWSアクセスポータルからSSOログイン | マネジメントコンソールにログイン後、ロールを切り替え |
| 認証情報 | 一時的な認証情報 (ショートターム) | 長期的な認証情報 (アクセスキー等) が発行されやすい |
| 拡張性 | マルチアカウント環境に適しており拡張性が高い | アカウント数が増えると管理が煩雑になる |
セキュリティと運用効率の観点から、マルチアカウント環境ではIAM Identity Centerへの移行が強く推奨されています。
外部IdP連携時にユーザー同期は自動で行われるか
外部IDプロバイダー(IdP)と連携する場合、ユーザー同期が自動で行われるかどうかは、採用するプロトコルに依存します。
- SAML 2.0のみの場合:認証(ログイン)は連携されますが、ユーザー情報の同期は行われません。Identity Center側で事前にユーザーを作成するか、ジャストインタイム(JIT)プロビジョニングを利用する必要があります。
- SCIM (System for Cross-domain Identity Management) を利用する場合:ユーザーおよびグループの自動同期(プロビジョニング)が可能です。IdP側でユーザーを追加・削除すると、Identity Center側にも自動的に反映されます。
運用を自動化し、退職者などのアカウント削除漏れを防ぐためには、SAML認証に加えてSCIMによる自動プロビジョニングの設定を行うことがベストプラクティスです。
管理アカウント自体へのアクセス制御も可能か
はい、可能です。AWS Organizationsの管理アカウント(Management Account)に対しても、メンバーアカウントと同様にIAM Identity Centerを使用してアクセス権限を割り当てることができます。
管理アカウントでの作業はリスクが高いため、ルートユーザーや個別のIAMユーザーを使用するのではなく、Identity Center経由で最小権限の原則に基づいたアクセスを行うように設定すべきです。
AWS IAM Identity Centerはリージョンごとに設定が必要か
結論から述べると、AWS IAM Identity Center(旧 AWS SSO)は、基本的にはリージョンごとに設定を行う必要はありません。
AWS IAM Identity Centerは「リージョナルサービス」ですが、組織全体で単一のリージョン(ホームリージョン)にて有効化することで、すべてのAWSアカウントおよび全リージョンのリソースへのアクセスを一元管理できる仕組みになっています。
ただし、運用の形態によっては例外も存在します。ここでは、基本となる「組織インスタンス」での一元管理と、例外的な「アカウントインスタンス」の扱い、そしてリージョン選択のポイントについて詳しく解説します。
ホームリージョンによる一元管理の仕組み
AWS IAM Identity CenterをAWS Organizations(組織)の管理アカウントで有効化する場合、これを「組織インスタンス」と呼びます。組織インスタンスは、1つの組織につき1つのリージョンでのみ作成可能です。この有効化したリージョンをホームリージョンと呼びます。
管理者はホームリージョンで以下の設定を行うだけで、組織内の全メンバーアカウントおよび全リージョンへのアクセス権限をコントロールできます。
- ユーザーとグループの作成・管理
- 権限セット(Permission Sets)の定義
- 各アカウントへのユーザー割り当て
- 外部IDプロバイダー(IdP)との接続設定
エンドユーザーは、ホームリージョンで生成された「AWSアクセスポータル」のURLにアクセスし、そこからログインします。認証後は、権限を与えられた任意のアカウントのマネジメントコンソールへ、リージョンを問わず遷移することが可能です。
例外:アカウントインスタンスを利用する場合
2023年11月のアップデートにより、AWS Organizationsに依存しない「アカウントインスタンス」という機能が追加されました。これを利用する場合は、リージョンごとの考慮が必要になるケースがあります。
アカウントインスタンスは、特定のAWSアカウントおよび特定のリージョン内でのみ有効化される独立したインスタンスです。主に以下のようなケースで利用されます。
- AWS Organizationsを利用していない単独のアカウントでIdentity Centerを使いたい場合
- 組織の管理下にあるが、特定のリージョンで独立した検証環境(PoC)を構築したい場合
- 特定のリージョンに限定されたSaaSアプリケーションと連携したい場合
アカウントインスタンスを使用する場合は、そのインスタンスを作成したリージョン内での管理となります。組織全体でのSSO統合とは切り離されるため、組織インスタンスとは別に設定が必要です。
以下の表は、組織インスタンスとアカウントインスタンスの違いを整理したものです。
| 機能・特徴 | 組織インスタンス | アカウントインスタンス |
|---|---|---|
| 有効化の範囲 | 組織全体(全アカウント・全リージョン) | 単一のAWSアカウント・特定のリージョン |
| インスタンス数 | 組織で1つのみ | アカウント・リージョンごとに作成可能 |
| 主な用途 | 全社的なSSO基盤、一元管理 | 特定アプリの検証、分離された環境 |
| リージョン設定 | 1箇所で設定すれば完了 | 利用するリージョンごとに設定が必要 |
リージョン選択における考慮事項
組織インスタンスを利用する場合、設定は1箇所で済みますが、「どこのリージョンをホームリージョンにするか」は慎重に選ぶ必要があります。一度有効化した後にリージョンを変更するには、インスタンスを削除して再作成する必要があるためです。
リージョン選択の主な判断基準は以下の通りです。
- ユーザーの地理的位置
ユーザーの大多数がいる場所に物理的に近いリージョンを選ぶことで、アクセスポータルへのログイン時のレイテンシを最小限に抑えられます。 - データレジデンシーと法的要件
IDデータやアクセスログが保存される場所となるため、企業のコンプライアンス要件や各国のデータ保護規制(GDPRなど)に合わせて選択します。 - 連携サービスの対応状況
一部のAWSマネージドアプリケーション(Amazon SageMakerなど)と連携する場合、Identity Centerと同じリージョンであることが推奨、または必須となるケースがあります。
詳しくはAWS公式ドキュメントのAWS リージョンを選択するための考慮事項も参照してください。
IAM Identity Centerの権限セット変更は即座に反映されるか
IAM Identity Centerを運用する中で、ユーザーに割り当てた権限セット(Permission Set)の内容を変更した場合、その変更がいつユーザーに適用されるのかは重要なポイントです。特に、セキュリティ上の理由で権限を急いで剥奪したい場合や、業務に必要な権限をすぐに追加したい場合に、ユーザーの再ログインが必要かどうかは運用手順に大きく影響します。
結論から述べると、権限セットのポリシー変更は、プロビジョニング完了後にアクティブなセッションに対しても即座に反映されます。
権限セット更新の仕組みと反映プロセス
IAM Identity Centerの権限セットを変更すると、AWSはその変更を関連付けられているすべてのAWSアカウントに対してプロパゲート(伝播)させます。この処理はバックグラウンドで自動的に行われ、各アカウント内に作成されているIAMロールのポリシーを更新します。
AWSのIAM(Identity and Access Management)の仕様上、ポリシーの評価はAPIリクエストごとに行われます。そのため、IAMロールのポリシーが更新されると、そのロールを使用して現在作業中のユーザーであっても、次の操作(APIコール)から新しい権限設定が適用されます。
- 権限を追加した場合: ユーザーは再ログインすることなく、即座に新しい操作が可能になります。
- 権限を削除した場合: ユーザーがその操作を行おうとすると、即座に「Access Denied(アクセス拒否)」のエラーが発生します。
反映待ち時間とプロビジョニングステータス
「即座に反映される」というのは、IAM Identity Centerによる各アカウントへの「プロビジョニング(適用処理)」が完了した時点を指します。管理コンソールで権限セットを保存した後、AWS側で各アカウントのIAMロールを書き換える処理に数秒から数分程度の時間がかかる場合があります。
変更が完了したかどうかは、IAM Identity Centerコンソールの権限セット一覧画面で確認できます。ステータスが「最新(Up to date)」になっていれば、反映は完了しています。ステータスが「古い(Outdated)」の場合は、手動でプロビジョニングを行うか、処理の完了を待つ必要があります。
設定項目による反映タイミングの違い
権限セットの変更には、「ポリシー(権限内容)の変更」と「セッション期間などの設定変更」があり、それぞれ反映されるタイミングが異なります。ポリシーの変更は即時適用されますが、セッション時間の変更は既存のセッションには影響しません。
| 設定項目 | 変更内容 | 反映タイミング | アクティブなセッションへの影響 |
|---|---|---|---|
| 許可ポリシー | 管理ポリシーの追加・削除 インラインポリシーの編集 |
プロビジョニング完了後、即時 | 即座に適用される(再ログイン不要) |
| セッション期間 | 最大セッション時間の変更 (例: 1時間 → 12時間) |
次回ログイン時から | 影響しない(現在のセッションは古い設定のまま維持される) |
| リレー状態 | ログイン後の遷移先URL変更 | 次回ログイン時から | 影響しない |
このように、権限の中身(何ができるか)については即時性が高い一方で、セッションの有効期限(いつまでできるか)については、一度発行されたセッション情報の書き換えが行われないため、次回のサインインまで待つ必要がある点に注意してください。
詳細な仕様や手順については、AWSの公式ドキュメントもあわせて参照することをおすすめします。権限セットの表示と変更 - AWS IAM Identity Center
スイッチロールとIAM Identity Centerの違いは何か
AWS環境における権限管理やアカウント間の移動方法として、従来から利用されてきた「スイッチロール(Switch Role)」と、現在標準として推奨されている「AWS IAM Identity Center」は、どちらも別のアカウントや権限にアクセスするための仕組みですが、その設計思想と運用方法は大きく異なります。
根本的な違いは、「誰が(Identity)」管理されている場所と、「アクセス権(Access)」がどのように割り当てられているかにあります。
管理モデルと認証フローの比較
スイッチロールは、主にIAMユーザー(またはEC2などのAWSリソース)が、信頼関係を結んだ別のIAMロールに「なり代わる」機能です。これに対し、IAM Identity Centerは、ユーザーIDを一元管理し、そこから複数のAWSアカウントへのアクセス権を配布する仕組みです。
それぞれの違いを整理すると、以下の表のようになります。
| 比較項目 | IAM Identity Center | スイッチロール (IAMロール) |
|---|---|---|
| ユーザー管理の場所 | 一元管理(Identity Center内または外部IdP) | 各AWSアカウントごとのIAMユーザー |
| 認証のエントリポイント | AWSアクセスポータル(SSOログイン画面) | AWSマネジメントコンソール(IAMユーザーログイン後) |
| クレデンシャル(認証情報) | 一時的な認証情報のみを使用(セキュア) | IAMユーザーの長期的なパスワード/アクセスキーが必要 |
| マルチアカウント管理 | AWS Organizationsと連携し容易に展開可能 | アカウントごとに信頼関係(Trust Policy)の設定が必要 |
| 外部IdP連携 | 標準機能として対応(Azure AD, Oktaなど) | SAML連携用のIAMロール設定が個別に必要 |
セキュリティと運用負荷の観点での違い
スイッチロールを利用する場合、起点となるAWSアカウントに「IAMユーザー」を作成する必要があります。これは、ユーザーごとに長期的なパスワードやアクセスキーの発行・管理が必要になることを意味し、退職者が出た際やパスワードローテーションの管理において、運用負荷とセキュリティリスクが高まる要因となります。
一方、IAM Identity Centerを利用する場合、ユーザーはAWSアクセスポータルという単一の入り口からログインします。バックエンドでは一時的な認証情報(ショートターム・クレデンシャル)が発行されるため、長期的なアクセスキーを個々のユーザーに管理させる必要がなくなり、セキュリティ強度が大幅に向上します。
どちらを採用すべきかの判断基準
現在、AWSではマルチアカウント環境におけるアクセス管理のベストプラクティスとしてIAM Identity Centerを推奨しています。しかし、すべてのケースでスイッチロールが不要になるわけではありません。状況に応じた使い分けの目安は以下の通りです。
IAM Identity Centerへの移行が推奨されるケース
- AWS Organizationsを利用して複数のAWSアカウントを管理している
- 社内のActive DirectoryやOkta、Google Workspaceなどの外部IdPと連携したい
- 開発者や運用者に長期的なIAMアクセスキーを持たせたくない
- 監査対応のために、誰がいつどのアカウントにログインしたかを一元的に追跡したい
スイッチロール(IAMロール)の利用が適しているケース
- AWS Organizationsを利用していない単発のクロスアカウントアクセスが必要な場合
- 特定のCI/CDパイプラインやLambda関数など、機械的なプロセスが別アカウントのリソースを操作する場合
- 極めて小規模な環境で、外部IdP連携などのセットアップコストをかけたくない場合
特に、人間が操作する「ユーザーアクセス」に関しては、利便性とセキュリティの両面からIAM Identity Centerへの集約が強く推奨されます。一方で、システム間の連携においては、引き続きIAMロールによるスイッチロール(AssumeRole)の仕組みが重要な役割を果たします。
外部IdP連携時にユーザー同期は自動で行われるか
外部IdP(Identity Provider)とAWS IAM Identity Centerを連携させる際、ユーザーやグループの情報が自動的に同期されるかどうかは、SCIM(System for Cross-domain Identity Management)プロトコルの設定状況と、利用するIdPの対応機能に依存します。
結論から言うと、単にSAML連携(シングルサインオン設定)を行っただけでは、ユーザー情報は自動同期されません。AWS IAM Identity Centerは、ユーザーが初めてログインした際にアカウントを自動作成する「Just-in-Time(JIT)プロビジョニング」には対応していないため、ログイン前にあらかじめユーザーをAWS側に作成しておく必要があります。これを自動化するために利用されるのがSCIMです。
SCIMによる自動プロビジョニングの仕組み
SCIMは、異なるシステム間でユーザーID情報を安全に交換・同期するための標準規格です。AWS IAM Identity CenterでSCIMを有効化し、IdP側で自動プロビジョニング設定を行うことで、以下のような同期処理が自動化されます。
- ユーザーの新規作成:IdPでユーザーを作成・割り当てると、AWS側にも自動でユーザーが作成されます。
- 属性の更新:メールアドレスや氏名などの変更が自動的に反映されます。
- ユーザーの削除・無効化:IdP側でユーザーを削除または無効化すると、AWS側のアクセス権も即座に削除されます。
この仕組みにより、入退社時のアカウント管理漏れを防ぎ、セキュリティリスクを大幅に低減できます。SCIMを利用するには、AWS管理コンソールで発行される「SCIMエンドポイント」と「アクセストークン」をIdP側に設定する必要があります。
主要な外部IdPのSCIM対応状況
主要なIdPの多くはSCIMに対応していますが、同期できる範囲(ユーザーのみか、グループも含むか)に差異がある場合があります。特にGoogle Workspaceを利用する場合は注意が必要です。
| IdP名 | ユーザー同期 | グループ同期 | 備考 |
|---|---|---|---|
| Microsoft Entra ID (旧Azure AD) | 対応 | 対応 | ユーザー・グループ共に完全な自動同期が可能。 |
| Okta | 対応 | 対応 | ユーザー・グループ共に完全な自動同期が可能。 |
| Google Workspace | 対応 | 非対応 | ユーザーは自動同期可能だが、グループ情報の自動同期は標準機能ではサポートされていない(2024年時点)。 |
| OneLogin | 対応 | 対応 | ユーザー・グループ共に完全な自動同期が可能。 |
Google Workspaceとの連携において、ユーザーの自動プロビジョニングは2023年のアップデートでサポートされましたが、グループ情報の同期は依然として手動で行うか、サードパーティ製の同期ツール(ssosyncなど)を利用する必要があります。 AWS IAM Identity Center now supports automated user provisioning from Google Workspace
SCIMが利用できない場合の運用方法
利用しているIdPがSCIMに対応していない場合、またはGoogle Workspaceでグループ同期を行いたい場合は、以下の方法でユーザー情報を管理する必要があります。
- 手動作成:AWS管理コンソールから一人ずつユーザーやグループを作成します。小規模な組織向けです。
- CSV一括アップロード:所定のフォーマットのCSVファイルを作成し、管理コンソールからインポートします。
- API/CLIによる自動化:AWS CLIやSDKを使用して、独自のスクリプトでIdPの情報をAWS側に反映させます。
管理アカウント自体へのアクセス制御も可能か
AWS IAM Identity Center(旧 AWS SSO)を導入する際、多くのユーザーが疑問に思うのが、AWS Organizationsの親となる「管理アカウント(Management Account)」へのアクセス制御についてです。結論から述べると、管理アカウントに対しても、メンバーアカウントと同様にIAM Identity Centerを用いたアクセス制御が可能です。
管理アカウントは、請求情報の管理や組織全体のポリシー(SCP)適用など、非常に強力な権限を持つため、従来のIAMユーザーによる管理からIAM Identity Centerによる一元管理へ移行することで、セキュリティを大幅に向上させることができます。
管理アカウントへの権限セット割り当てと仕組み
管理アカウントへのアクセス設定は、メンバーアカウントへの設定手順と変わりません。IAM Identity Centerのコンソール上で、AWSアカウントの一覧から管理アカウントを選択し、作成済みの「権限セット(Permission Set)」と「ユーザーまたはグループ」を割り当てるだけで完了します。
これにより、管理者は個別のIAMユーザー名とパスワードを管理する必要がなくなり、SSOポータルからワンクリックで管理アカウントへログインできるようになります。ただし、管理アカウントは組織全体に影響を及ぼす操作が可能なため、最小権限の原則に基づき、必要最低限の権限セットのみを割り当てることが強く推奨されます。
| 比較項目 | 従来のIAMユーザー運用 | IAM Identity Center運用(推奨) |
|---|---|---|
| 認証情報 | アカウントごとにID・パスワード・MFA管理が必要 | 単一のSSO認証情報で管理アカウントにもアクセス可能 |
| 権限管理 | 個別のIAMポリシーをアタッチ | 権限セットによる統一的なポリシー適用 |
| 監査ログ | CloudTrailでIAMユーザーのアクティビティを追跡 | CloudTrailでSSOユーザーのアクティビティとして追跡 |
セキュリティリスク軽減のための委任管理者設定
管理アカウントへのアクセスが可能であるとはいえ、日常的な運用で管理アカウントへ頻繁にログインすることはセキュリティリスクを高めます。そこでAWSが推奨しているのが、委任管理者(Delegated Administrator)機能の活用です。
この機能を使用すると、IAM Identity Center自体の管理権限(ユーザー作成、グループ管理、権限セットの割り当てなど)を、管理アカウント以外の特定のメンバーアカウント(セキュリティ用アカウントなど)に委任できます。
委任管理者を利用するメリット
- 管理アカウントへのログイン回数の削減:日常的なID管理業務のために管理アカウントへログインする必要がなくなります。
- 職務分掌の明確化:組織管理(請求など)とID管理(SSO設定)の役割をアカウントレベルで分離できます。
- セキュリティの向上:管理アカウントへのアクセスを「緊急時」や「組織レベルの変更」のみに限定し、攻撃対象領域を縮小できます。
緊急時のアクセス手段(Break Glass)の確保
IAM Identity Centerですべてのアクセスを管理することは効率的ですが、万が一SSOのシステム障害や設定ミスによってサインインできなくなった場合に備え、緊急アクセス用のアカウント(Break Glass Account)を確保しておくことが重要です。
具体的には、管理アカウントのルートユーザー、または強力な権限を持つ少数のIAMユーザーをMFA(多要素認証)設定済みで保持し、その認証情報を物理的に安全な金庫などで厳重に管理する運用が求められます。これにより、予期せぬ事態でも管理アカウントへのアクセスを回復し、復旧作業を行うことが可能になります。
詳細な設定手順やベストプラクティスについては、AWS IAM Identity Center ユーザーガイドを参照してください。
まとめ
本記事では、AWS環境におけるID管理とアクセスコントロールの中核を担う「AWS IAM Identity Center」について、その概要から旧AWS SSOとの違い、具体的な設定手順、そして運用時のベストプラクティスまでを詳しく解説しました。
IAM Identity Centerは、単なるログインツールにとどまらず、複数のAWSアカウントやSaaSアプリケーションへのアクセスを一元管理し、組織全体のセキュリティガバナンスを強化するための必須サービスです。特に、外部IDプロバイダー(IdP)とのシームレスな連携や、属性ベースのアクセスコントロール(ABAC)を活用することで、管理者の運用負荷を軽減しながら、堅牢なセキュリティ体制を構築できる点が最大のメリットと言えます。
改めて、本記事の重要なポイントを整理します。
- AWS IAM Identity Centerは旧AWS SSOの後継であり、マルチアカウント管理における推奨サービスである
- Azure AD(Entra ID)やOktaなどの外部IdPと連携することで、ユーザー情報の一元管理と自動同期が可能になる
- 多要素認証(MFA)の強制適用や適切なセッションタイムアウト設定により、不正アクセスのリスクを大幅に低減できる
- 「最小権限の原則」に基づいた権限セットの設計と、CloudTrailを用いた継続的な監査が安全な運用の鍵となる
クラウド環境のセキュリティ対策に「完了」はありません。組織の拡大や要件の変化に合わせて、権限設定や認証ポリシーを定期的に見直すことが重要です。まずは、現在の管理状況を確認し、MFAの有効化や権限セットの最適化など、できるところからセキュリティ強化を実践してみましょう。
AWS IAM Identity Centerの導入支援や、より複雑なマルチアカウント環境の設計に関するご相談も随時承っております。自社だけで解決が難しい場合は、ぜひお気軽にお問い合わせください。
