AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト – アソシエイト
AWSサービスの一つであるAWS IAM Identity Center (AWS Single Sign-On)はどんな内容なのでしょうか?また、AWS認定資格のソリューションアーキテクト-アソシエイト(SAA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
AWS IAM Identity Center(旧 AWS Single Sign-On / AWS SSO)は、複数のAWSアカウントやビジネスアプリケーションへのシングルサインオン(SSO)アクセスを一元管理するサービスです。ユーザーは1つの認証情報で、許可された複数のAWSアカウント・ロールに簡単にアクセスできます。
Organizations全体のアクセス管理に最適で、内蔵のIDストアまたは外部IdP(Okta・Microsoft Entra ID(旧Azure AD)・Ping等)と連携できます。
2. 主な特徴と機能
2.1 マルチアカウントSSO
Organizations内の全アカウントへのアクセスを一元管理。ユーザーはアクセスポータル(1つのURL)からログインして、許可されたアカウント・ロールを選択してアクセスできます。
2.2 Permission Set(権限セット)
アカウントへのアクセスレベルを定義するIAMポリシーの集合。Permission Setをユーザー/グループとアカウントに割り当てると、IAM Identity Centerが対象アカウントにIAMロールを自動作成します。
- AWS管理ポリシー・カスタムインラインポリシー・許可境界を組み合わせて定義。
- 1つのPermission Setを複数アカウントに適用して権限を標準化。
2.3 IDソース(IDストア)
- Identity Center ディレクトリ(内蔵): IAM Identity Center内でユーザー・グループを管理(小〜中規模向け)。
- 外部IdP(SAML 2.0): Okta・Microsoft Entra ID・Ping Identity等とSAMLフェデレーション連携。
- Active Directory: AWS Managed Microsoft AD / オンプレADと連携。
2.4 SCIM(自動プロビジョニング)
外部IdPからユーザー・グループ情報をSCIMプロトコルで自動同期。IdP側でユーザーを追加/削除するとIAM Identity Centerにも自動反映され、ライフサイクル管理を効率化。
2.5 属性ベースアクセス制御(ABAC)
ユーザー属性(部門・職務等)に基づいてアクセスを動的に制御。IdPから渡される属性をPermission Setのポリシー条件で利用してきめ細かいアクセス制御を実現。
2.6 アプリケーション割り当て
AWSアカウントだけでなく、SAML対応のSaaSアプリケーション(Salesforce・Microsoft 365等)へのSSOアクセスも一元管理できます。
3. アーキテクチャおよび技術要素
- IAM Identity Centerを有効化(Organizations管理アカウントまたは委任管理者)。
- IDソースを設定(内蔵ディレクトリ・外部IdP・AD)。
- Permission Setを作成(アクセスレベルを定義)。
- ユーザー/グループ × AWSアカウント × Permission Setを割り当て→対象アカウントにIAMロールが自動作成。
- ユーザーはアクセスポータルからSSOでアカウント・ロールにアクセス。
4. セキュリティと認証・認可
- MFA: 多要素認証を強制(IdP側またはIdentity Center側)。
- 一時的な認証情報: SSOアクセスはSTSの一時的な認証情報を内部で利用(長期キー不要)。
- SCIM自動プロビジョニング: 退職者のIdPアカウント削除→IAM Identity Centerからも自動削除(オフボーディングの確実化)。
- セッション期間制御: アクセスセッションの有効期限を設定。
5. 料金形態
AWS IAM Identity Centerは無料です(追加料金なしで利用できます)。連携する外部IdPやAWS Managed Microsoft AD等は別途料金が発生する場合があります。
6. よくあるアーキテクチャ・設計パターン
- マルチアカウントSSO: Organizations全アカウントへのアクセスをIAM Identity Centerで一元化。ユーザーは1つのポータルから許可されたアカウント・ロールに切り替え。
- 外部IdP連携(Entra ID/Okta): 企業の既存IdPとSAML/SCIM連携。社員のID管理をIdPに集約しつつAWSアクセスを統制。
- ABACによる動的権限: IdPの部門属性をPermission Setの条件に使い、部門ごとに自動でアクセス範囲を制限。
7. 設定・デプロイ手順(ハンズオン例)
- IAM Identity Centerコンソールで「有効化」(Organizationsが前提)。
- IDソースを選択(内蔵ディレクトリまたは外部IdP)。外部IdPの場合はSAMLメタデータを交換しSCIMを設定。
- 「Permission Set」を作成(例: AdministratorAccess、ReadOnly)。
- 「AWSアカウント」でユーザー/グループ × アカウント × Permission Setを割り当て。
- アクセスポータルURLからユーザーがSSOログインして動作確認。
8. 試験で問われやすいポイント
8.1 IAM Identity Centerの役割
- Q: 複数のAWSアカウントへのアクセスをSSOで一元管理するには?
A: AWS IAM Identity Center(旧AWS SSO)。Permission Setとアクセスポータルでマルチアカウントアクセスを一元管理。
8.2 Permission Set
- Q: IAM Identity CenterのPermission Setとは?
A: アカウントへのアクセスレベルを定義するIAMポリシーの集合。割り当てると対象アカウントにIAMロールが自動作成される。複数アカウントで権限を標準化できる。
8.3 外部IdP連携とSCIM
- Q: Okta/Entra IDのユーザーをIAM Identity Centerに自動同期するには?
A: SCIMプロトコルで自動プロビジョニング(IdP側のユーザー追加/削除がIAM Identity Centerに自動反映)。認証はSAML 2.0で連携。
8.4 STS AssumeRoleとの関係
- Q: IAM Identity CenterとSTS AssumeRoleWithSAMLの違いは?
A: IAM Identity Centerはマルチアカウント SSO 管理をマネージドで提供(内部でSTSを使用)。個別のSAMLフェデレーション設定が不要で複数アカウントを簡単に管理。STS AssumeRoleWithSAMLは個別アカウントのSAMLフェデレーションの低レベル実装。