[COP323-R] Delegating access in a multi-account environment with IAM Identity Center（ガバナンス）

投稿日: 2022/12/09

AWS IAM Identity Center を使用して、AWS Organizations および AWS Control Tower でアクセス管理の委任を説明するセッション。

AWS IAM Identity Centerサービスは、マルチアカウント環境でログインしているアカウントをシングルサインオン形式で使用するのに非常に適しているため、AWS Organizations または AWS Landing Zone ベースの Control Tower を使用する場合に主に使用します。

AWS IAM Identity Center は Active Directory または SAML2.0 アプリケーションと連携できます。これを使用してグループまたは個人に権限を付与することで、AWS のマルチアカウント環境にアクセスできます。

権限は、次のように、役割ベースのアクセス制御、属性ベースのアクセス制御に分けられます。

役割ベース：IAMロールを使用したアクセス制御
属性ベース：タグを使用したアクセス制御

AWS IAM Identity Center はアドミンとポリシーを委任できます。

アドミン: AWS IAM Identity Center によって付与された管理者権限とは異なり、AWS IAM Identity Center で他のアカウントへの承認が可能です。
権限、ポリシー：ロールベースかプロパティベースかによって、JSONコードの内容が異なります。

管理アカウントのアドミンは、委任されるアカウントのアドミンに権限を付与することにより、Custom Managed Policy（ユーザー管理ポリシー）に対して管理が可能となり、管理するポリシーを他のアカウントに許可することで使用可能になります。

アドミン権限の委任を通じて、Control Tower または Organization 管理アカウントにアクセスできないため、より効率的に権限を付与することができます。

実際の使用に多くの助けを与えることができると思います。

お問い合わせ

引用元

https://www.megazone.com/reinvent2022-1130-24/