統合について - AWS Identity and Access Management
1. ユーザーエクスペリエンスとワークフローの設計2. API の統合3. リソース設定とオーケストレーション

統合について

オンボーディングプロセスが完了すると、IAM 一時委任との統合を構築することができます。完全な統合は、通常、次の 3 つの作業で構成されています。

1. ユーザーエクスペリエンスとワークフローの設計

一時委任のワークフローを使って、顧客をガイドするフロントエンドのエクスペリエンスをパートナーアプリケーションに構築します。パートナーアプリケーションは以下を行う必要があります。

  • 顧客が一時的なアクセス許可を付与できる、オンボーディングまたは設定の明確なフローを提示します。このアクションに「IAM 一時委任を使ってデプロイする」といったわかりやすいラベルを付けます。

  • CreateDelegationRequest API が返すコンソールリンクを使用して、顧客を AWS マネジメントコンソールにリダイレクトし、委任リクエストを確認および承認します。

  • リクエストされたアクセス許可とその理由に関する適切なメッセージを提供します。顧客は、このメッセージを委任リクエストの詳細ページで確認できます。

  • AWS での承認が完了したら、アプリケーションへの顧客からの返信に対処します。

2. API の統合

IAM 一時委任 API を使用して、委任リクエストを送信および管理します。AWS アカウントが登録されると、次の API にアクセスできます。

  • IAM CreateDelegationRequest – 顧客の AWS アカウントの委任リクエストを作成します。この API は、リクエストの確認および承認用に、顧客をリダイレクトするコンソールリンクを返します。

  • AWS STS GetDelegatedAccessToken – 顧客が委任リクエストを承認した後、一時的な AWS 認証情報を取得します。顧客のアカウントでアクションを実行するときはこれらの認証情報を使用します。

統合により、リクエストの作成、ステータスのモニタリング、承認時の一時的な認証情報の取得など、委任リクエストのすべてのライフサイクルに対処できる必要があります。

3. リソース設定とオーケストレーション

一時的な認証情報を取得したら、顧客の AWS アカウントで必要なワークフローを組み立ててリソースを設定します。これには、次のようなものがあります。

  • AWS サービス API を直接呼び出してリソースを作成および設定する

  • AWS CloudFormation テンプレートを使用してインフラストラクチャをデプロイする

  • 継続的なアクセスのため IAM ロールを作成する (アクセス許可の境界を使用する必要あり)

顧客は、委任の承認を再試行または変更する必要がある場合があるため、オーケストレーションのロジックはべき等とし、障害を適切に処理する必要があります。