翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # IAM Identity Center のガイダンス AWS Control Tower では、 AWS Identity and Access Management (IAM) を使用して へのアクセスを規制することをお勧めします AWS アカウント。ただし、AWS Control Tower に IAM Identity Center をセットアップさせるか、ビジネス要件を最も効果的に満たす方法で IAM Identity Center を自分でセットアップするか、またはアカウントアクセスに別の方法を選択するかを選ぶことができます。 **注記** **SSO** は、テクノロジー業界で*シングルサインオン*を表すために使用される略語です。一般的に、SSO はセッションとユーザー認証のサービスです。これにより、ユーザーは 1 つのログイン認証情報を使用して多くのアプリケーションにアクセスできます。のシングルサインオン機能を参照する場合 AWS、 という AWS サービスを参照し**AWS Identity and Access Management**、**IAM** または **IAM Identity Center** と略します。 デフォルトでは、AWS Control Tower AWS は、[「複数のアカウントを使用して AWS 環境を整理する](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)」で定義されているベストプラクティスのガイダンスに従って、ランディングゾーンに IAM アイデンティティセンターを設定します。ほとんどのお客様はデフォルトを選択します。特定の業界や国、または IAM Identity Center AWS AWS リージョン が利用できない地域での規制コンプライアンスのために、代替のアクセス方法が必要になる場合があります。 **オプションの選択** コンソールから、AWS Control Tower にセットアップさせるのではなく、ランディングゾーンのセットアッププロセス中に IAM Identity Center を自己管理することを選択できます。ランディングゾーンの設定を変更し、ランディングゾーンの **[設定]** ページでランディングゾーンを更新することで、後でいつでもこの選択を変更できます。 **AWS Control Tower AWS で IAM Identity Center を停止するか、IAM Identity Center AWS の使用を開始するには** 1. ランディングゾーンの **[設定]** ページに移動する 1. **[設定]** タブを選択します。 1. 次に、適切なラジオボタンを選択して、IAM Identity Center AWS の選択を変更します。 IdP として AWS IAM アイデンティティセンターを自己管理することを選択すると、AWS Control Tower は や などの AWS Control Tower の管理に必要なロール`AWSControlTowerAdmin`とポリシーのみを作成します`AWSControlTowerAdminPolicy`。自己管理型のランディングゾーンの場合、AWS Control Tower は、ランディングゾーンのセットアッププロセス中や Account Factory でのアカウントプロビジョニング中に、お客様固有の用途の IAM ロールおよびグループを作成しなくなります。 **注記** AWS Control Tower AWS ランディングゾーンから IAM Identity Center を削除しても、AWS Control Tower が作成したユーザー、グループ、およびアクセス許可セットは削除されません。これらのリソースを削除することをお勧めします。 Azure AD、Ping、Okta などの代替 ID プロバイダー (IdPs) を持つ Account Factory のお客様は、IAM Identity Center AWS [プロセス](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-idp.html)に従って外部 ID プロバイダーに接続し、IdP をオンボードできます。ランディングゾーンの設定を変更することで、いつでも AWS Control Tower がグループとロールを生成するように戻すことができます。 + ID ソースに基づいて AWS Control Tower が IAM Identity Center と連携する方法の詳細については、このユーザーガイドの開始方法ページの[「起動前チェック](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-prereqs.html#sso-considerations)」セクションの** AWS IAM アイデンティティセンター 「お客様向けの考慮事項**」を参照してください。 ** + AWS Control Tower が IAM Identity Center やさまざまなアイデンティティソースとやり取りする動作の詳細については、「*IAM Identity Center ユーザーガイド*」の「[アイデンティティソースの変更に関する考慮事項](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-considerations.html)」を参照してください。 + AWS Control Tower および IAM Identity Center の使用に関する詳細については、「[IAM Identity Center AWS と AWS Control Tower の使用](sso.md)」を参照してください。