目次
IAMとIAM Identity Centerの違い
| 観点 | IAM | IAMIdentityCenter |
|---|---|---|
| 対象範囲 | 単一アカウント | 複数アカウント横断 |
| ユーザー管理 | アカウントごと | 一元管理 |
| 認証情報 | 長期・一時 | 一時のみ |
| SSO | 不可 | 可能 |
| IdP連携 | 限定的 | 得意 |
IAM:単一アカウント内のきめ細かい権限制御。
IAM Identity Center:複数アカウント・組織全体の人的アクセス管理。旧AWS SSOです。
IdP:AzureAD/EntraID、Oktaなど
AWSは、人間のユーザーアクセスにはIAM Identity Centerの利用を推奨しています。
IAMとは
IAMは、AWSアカウントの中で権限を管理する仕組みです。誰がサインインできるか、どのリソースを使えるかを制御します。
・個々のAWSアカウント内でユーザー・グループ・ロール・ポリシーを管理する仕組み
・認証情報(IAMユーザー)はそのアカウントに紐づく
・複数アカウントを使う場合、それぞれのアカウントで個別に管理が必要
・長期のアクセスキーやパスワードを発行できる
IAM Identity Centerとは
IAM Identity Centerは、人間の利用者が複数のAWSアカウントにログインするための入口をまとめるサービスです。
・複数のAWSアカウント(AWS Organizations配下)への一元的なアクセス管理を提供
・一度のサインインで複数アカウント・複数ロールに切り替えられる(シングルサインオン)
・外部IdP(AzureAD/EntraID、Oktaなど)と連携し、企業の既存ユーザー情報を利用可能
・発行されるのは一時的な認証情報のみ(長期キーを作らない)
・許可セット(PermissionSet)という単位でアカウントごとの権限を割り当てる
→許可セットには、AWS管理ポリシー、カスタマー管理ポリシー、インラインポリシーなどを設定できる
関連の記事
