AWS IAMとIAM Identity Centerの違い

目次

IAMとIAM Identity Centerの違い

観点 IAM IAMIdentityCenter
対象範囲 単一アカウント 複数アカウント横断
ユーザー管理 アカウントごと 一元管理
認証情報 長期・一時 一時のみ
SSO 不可 可能
IdP連携 限定的 得意

IAM:単一アカウント内のきめ細かい権限制御。
IAM Identity Center:複数アカウント・組織全体の人的アクセス管理。旧AWS SSOです。

IdP:AzureAD/EntraID、Oktaなど

AWSは、人間のユーザーアクセスにはIAM Identity Centerの利用を推奨しています。

IAMとは

IAMは、AWSアカウントの中で権限を管理する仕組みです。誰がサインインできるか、どのリソースを使えるかを制御します。

・個々のAWSアカウント内でユーザー・グループ・ロール・ポリシーを管理する仕組み
・認証情報(IAMユーザー)はそのアカウントに紐づく
・複数アカウントを使う場合、それぞれのアカウントで個別に管理が必要
・長期のアクセスキーやパスワードを発行できる

IAM Identity Centerとは

IAM Identity Centerは、人間の利用者が複数のAWSアカウントにログインするための入口をまとめるサービスです。

・複数のAWSアカウント(AWS Organizations配下)への一元的なアクセス管理を提供
・一度のサインインで複数アカウント・複数ロールに切り替えられる(シングルサインオン)
・外部IdP(AzureAD/EntraID、Oktaなど)と連携し、企業の既存ユーザー情報を利用可能
・発行されるのは一時的な認証情報のみ(長期キーを作らない)
・許可セット(PermissionSet)という単位でアカウントごとの権限を割り当てる
 →許可セットには、AWS管理ポリシー、カスタマー管理ポリシー、インラインポリシーなどを設定できる

関連の記事

aws loginとaws sso loginの違い

△上に戻る