翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS マネージドアプリケーション
<a name="awsapps"></a>

AWS IAM アイデンティティセンター は、ワークフォースユーザーを Kiro や Amazon Quick などの AWS マネージドアプリケーションに接続するタスクを合理化および簡素化します。IAM アイデンティティセンターを使用することで、既存の ID プロバイダーをいったん接続してディレクトリ内のユーザーやグループと同期したり、あるいは IAM アイデンティティセンターでユーザーを直接作成および管理したりできます。単一のフェデレーションポイントを提供することで、IAM アイデンティティセンターは、各アプリケーション向けにフェデレーションまたはユーザーとグループの同期を設定する操作を不要にし、管理作業を軽減します。[ユーザーとグループの割り当てに関する共通ビュー](howtoviewandchangepermissionset.md)も得られます。

IAM Identity Center と連携する AWS アプリケーションの表については、「」を参照してください[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)。

## AWS マネージドアプリケーションへのアクセスの制御
<a name="awsapps-controlling-access"></a>

 AWS マネージドアプリケーションへのアクセスは、次の 2 つの方法で制御されます。
+ **アプリケーションへの初回入力** 

  IAM アイデンティティセンターは、アプリケーションへの割り当てを通じてこれを管理します。デフォルトでは、 AWS マネージドアプリケーションには割り当てが必要です。アプリケーション管理者である場合、アプリケーションへの割り当てを必須にするかどうかを選択できます。

  割り当てが必要な場合、ユーザーが AWS アクセスポータルにサインインすると、アプリケーションへの直接割当て、またはグループ割り当てによって割り当てられたユーザーのみがアプリケーションタイルを閲覧できます。

  割り当てが不要な場合は、すべての IAM アイデンティティセンターユーザーがアプリケーションにアクセスすることを許可できます。この場合、アプリケーション側はリソースへのアクセスを管理し、アプリケーションタイルは AWS アクセスポータルにアクセスするすべてのユーザーに対して表示されます。
**重要**  
IAM Identity Center 管理者の場合は、IAM Identity Center コンソールを使用して、 AWS マネージドアプリケーションへの割り当てを削除できます。割り当てを削除する前に、アプリケーション管理者と調整することをお勧めします。また、割り当てが必要かどうかを決定する設定を変更したり、アプリケーションの割り当てを自動化したりする予定がある場合は、アプリケーション管理者と調整する必要があります。
+ **アプリケーションリソースへのアクセス**

   アプリケーションは、アプリケーション側で制御する独立したリソース割り当てを通じてアプリケーションリソースへのアクセスを管理します。

AWS マネージドアプリケーションは、アプリケーションリソースへのアクセスを管理するために使用できる管理ユーザーインターフェイスを提供します。たとえば、クイック管理者は、グループメンバーシップに基づいてダッシュボードにアクセスするユーザーを割り当てることができます。ほとんどの AWS マネージドアプリケーションは、アプリケーションにユーザーを割り当てることができる AWS マネジメントコンソール エクスペリエンスも提供します。これらのアプリケーションのコンソール環境には、ユーザー割り当て機能とアプリケーションリソースへのアクセスを管理する機能を組み合わせるために、両方の機能が統合されている場合があります。

## ID 情報の共有
<a name="app-enablement"></a>

### で ID 情報を共有する際の考慮事項 AWS アカウント
<a name="considerations-app-enablement"></a>

IAM アイデンティティセンターは、アプリケーション全体で最もよく使用される属性をサポートします。これらの属性には、姓名、電話番号、E メールアドレス、住所、優先する言語が含まれます。この個人を特定できる情報を使用できるアプリケーションとアカウントを慎重に検討してください。

この情報へのアクセスは、次のいずれかの方法で制御できます。
+  AWS Organizations 管理アカウントのみ、または のすべてのアカウントでアクセスを有効にすることができます AWS Organizations。
+ または、サービスコントロールポリシー (SCP) を使って、どのアプリケーションが AWS Organizationsのどのアカウントの情報にアクセスできるかを制御することができます。

たとえば、 AWS Organizations 管理アカウントでのみアクセスを有効にすると、メンバーアカウントのアプリケーションは情報にアクセスできません。すべてのアカウントでアクセスを有効にすると、SCP を使用して許可するアプリケーションを除く、すべてのアプリケーションによるアクセスを禁止できます。

サービスコントロールポリシーは の機能です AWS Organizations。SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。

### ID 情報を共有するための IAM アイデンティティセンターの設定
<a name="configure-app-enablement"></a>

IAM アイデンティティセンターは、サインイン認証情報を除く、ユーザーおよびグループの属性を含む ID ストアを提供します。以下のいずれかの方法で、IAM Identity Center ID ストアのユーザーとグループを更新することができます。
+ IAM Identity Center ID ストアをメインの ID ソースとして使用します。この方法を選択した場合は、IAM Identity Center コンソールまたは AWS Command Line Interface () 内からユーザー、サインイン認証情報、グループを管理しますAWS CLI。詳細については、「[アイデンティティセンターディレクトリでユーザーを管理する](manage-your-identity-source-sso.md)」を参照してください。
+ 以下のいずれかの ID ソースから IAM Identity Center の ID ストアにユーザーとグループのプロビジョニング (同期) を設定します。
  + **Active Directory** - 詳細については、「[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)」を参照してください。
  + **外部 ID プロバイダー** - 詳細については、「[外部 ID プロバイダー](manage-your-identity-source-idp.md)」を参照してください。

  このプロビジョニング方法を選択した場合、ユーザーとグループの管理は ID ソース内で継続され、それらの変更は IAM アイデンティティセンターの ID ストアに同期されます。

選択した ID ソースにかかわらず、IAM Identity Center はユーザーおよびグループの情報を AWS マネージドアプリケーションと共有できます。そのように、ID ソースを一度 IAM アイデンティティセンターに接続するだけで、 AWS クラウド内の複数のアプリケーションで ID 情報を共有することが可能になります。これにより、アプリケーションごとにフェデレーションや ID のプロビジョニングを個別に設定する必要がなくなります。また、この共有機能により、ユーザーに別の AWS アカウントで、多数のアプリケーションへのアクセスを簡単に与えることができます。

## AWS マネージドアプリケーションの使用を制限する
<a name="awsapps-constrain"></a>

IAM アイデンティティセンターを初めて有効にすると、 AWS Organizations内のすべてのアカウントで AWS マネージドアプリケーションの ID ソースとして利用可能になります。アプリケーションを制約するには、サービスコントロールポリシー (SCP) を実装する必要があります。SCPsは、組織内の ID (ユーザーとロール) が持つことができる最大アクセス許可を一元的に制御するために AWS Organizations 使用できる の機能です。SCP を使用して、IAM アイデンティティセンターのユーザーおよびグループ情報へのアクセスをブロックし、指定したアカウント以外ではアプリケーションを起動できないようにすることができます。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。

以下の SCP の例では、IAM アイデンティティセンターのユーザーおよびグループ情報へのアクセスをブロックし、指定したアカウント(111111111111 および 222222222222)以外ではアプリケーションを起動できないようにすることができます。

```
{
  "Sid": "DenyIdCExceptInDesignatedAWSAccounts",
  "Effect": "Deny",
  "Action": [
    "identitystore:*",
    "sso:*",
    "sso-directory:*",
    "sso-oauth:*"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalAccount": [
        "111111111111",
        "222222222222"
      ]
    }
  }
}
```

# AWS IAM Identity Center で使用できる マネージドアプリケーション
<a name="awsapps-that-work-with-identity-center"></a>

IAM アイデンティティセンターでは、既存の ID ソースを接続したり、ユーザーを 1 回作成したりできます。これにより、アプリケーション管理者は、個別のフェデレーションやユーザーとグループの同期なしで、次の AWS マネージドアプリケーションへのアクセスを管理できます。

次の表のすべての AWS マネージドアプリケーションは、[IAM Identity Center の組織インスタンス](organization-instances-identity-center.md)と統合されています。この表は、サポートされている AWS マネージドアプリケーションの以下に関する情報も示しています。
+ アプリケーションが IAM アイデンティティセンターのアカウントインスタンスとも統合されているかどうか
+  アプリケーションが IAM アイデンティティセンターを介した信頼できる ID の伝播を有効化できるかどうか
+  アプリケーションがカスタマーマネージド KMS キーで設定された IAM アイデンティティセンターをサポートしているかどうか
+ アプリケーションが IAM アイデンティティセンターの追加リージョンでのデプロイをサポートしているかどうか

**注記**  
IAM アイデンティティセンターの追加リージョンへのデプロイをサポートするアプリケーションは、カスタマーマネージド KMS キーで設定された IAM アイデンティティセンターもサポートします。ここにリストされているすべての AWS マネージドアプリケーションは、プライマリリージョンでのデプロイをサポートしています。詳細については、「[複数の にまたがる AWS マネージドアプリケーションのデプロイと管理 AWS リージョン](multi-region-application-use.md#multi-region-aws-managed-applications)」を参照してください。


**AWS IAM Identity Center と統合する マネージドアプリケーション**  

| AWS マネージドアプリケーション | [IAM アイデンティティセンターのアカウントインスタンス](account-instances-identity-center.md)との統合 | IAM アイデンティティセンターを介した[信頼できる ID の伝播](trustedidentitypropagation-overview.md)の有効化 | [カスタマーマネージド KMS キー](encryption-at-rest.md)で設定された IAM アイデンティティセンターをサポート | [IAM アイデンティティセンターの追加リージョン](multi-region-iam-identity-center.md)でのデプロイをサポート | 
| --- | --- | --- | --- | --- | 
| Amazon Athena SQL | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon EKS の機能 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| EC2 での Amazon EMR | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon EMR on EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon EMR Serverless | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon OpenSearch Service | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon OpenSearch Service Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon Q Business | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon Redshift | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい 2 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | 
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | 
| Amazon SageMaker Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon SageMaker Unified Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS App Studio  | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | 
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | 
| AWS re:Post Private | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS Supply Chain | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい - Fleet Manager リモートデスクトップ | 
| AWS Transfer Family ウェブアプリ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS 変換 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| AWS Verified Access | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| Kiro | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい 1 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| マルチパーティー承認 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | 

1 Kiro の場合、ユーザーが AWS ウェブサイト上の Kiro 機能の完全なセットにアクセスする必要がある場合を除き、IAM Identity Center のアカウントインスタンスがサポートされます。詳細については、[Kiro ユーザーガイドの「Kiro のセットアップ](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html)」を参照してください。 **

2 Amazon Redshift では、IAM Identity Center のアカウントインスタンスがサポートされていますが、アカウントインスタンスではサポートされていないアクセス許可セットを必要とする Query Editor v2 などのアプリケーションを除きます。

**注記**  
Amazon Connect や などの一部の AWS サービスは AWS Client VPN 、IAM Identity Center で使用できますが、この表には記載されていません。これは、SAML のみを使用して IAM Identity Center と統合されるため、[カスタマーマネージドアプリケーション](customermanagedapps.md)に分類されるためです。

# クイックスタート: AWS マネージドアプリケーションをテストするための IAM Identity Center のセットアップ
<a name="awsapps-identity-center-quick-start"></a>

 管理者が IAM Identity Center へのアクセスをまだ許可していない場合は、このトピックのステップを使用して、 AWS マネージドアプリケーションをテストするように IAM Identity Center を設定できます。IAM Identity Center を有効にし、IAM Identity Center でユーザーを直接作成し、そのユーザーを AWS マネージドアプリケーションに割り当てる方法について説明します。

 このトピックでは、次のいずれかの方法で IAM アイデンティティセンターを有効にする方法に関するクイックスタートステップについて説明します。
+ **で AWS Organizations** — このオプションを選択すると、IAM Identity Center の*組織インスタンス*が作成されます。
+ **特定の のみ AWS アカウント** – このオプションを選択すると、IAM Identity Center の*アカウントインスタンス*が作成されます。

 これらのインスタンスタイプの詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。

## 前提条件
<a name="awsapps-quick-start-set-up-access-prerequisites"></a>

IAM アイデンティティセンターを有効にする前に、以下を確認してください。
+ **がある – AWS アカウント** がない場合は AWS アカウント、「 アカウント管理リファレンスガイド[」の「 の開始方法 AWS アカウント](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)」を参照してください。 *AWS *
+ ** AWS マネージドアプリケーションは IAM アイデンティティセンターと連携** – のリスト[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)を確認して、テストする AWS マネージドアプリケーションが IAM アイデンティティセンターと連携していることを確認します。
+ **リージョン別の考慮事項を確認した –** テストする AWS マネージドアプリケーションが、IAM Identity Center を有効にする AWS リージョン でサポートされていることを確認します。詳細については、 AWS マネージドアプリケーションのドキュメントを参照してください。
**注記**  
 AWS マネージドアプリケーションは、IAM Identity Center を有効にする予定のリージョンと同じリージョンにデプロイする必要があります。

## AWS マネージドアプリケーションをテストするための IAM Identity Center の組織インスタンスのセットアップ
<a name="awsapps-quick-start-setting-up-identity-center-to-test-awsmanagedapps"></a>

**注記**  
 このトピックでは、 を使用して IAM Identity Center を有効にする方法について説明します。これは AWS Organizations、IAM Identity Center を有効にするために推奨される方法です。

**アクセス許可を確認する**

で IAM Identity Center を有効にするには AWS Organizations、次のいずれかの方法で マネジメントコンソールに AWS サインインする必要があります。
+  AWS アカウント で IAM アイデンティティセンターを有効にする AWS Organizationsで管理権限を持つユーザー。
+ ルートユーザー (他の管理ユーザーが存在しない場合を除き、推奨されません)。
**重要**  
ルートユーザーは、アカウント内のすべての AWS サービスとリソースにアクセスできます。セキュリティのベストプラクティスとして、他の認証情報がない場合は、アカウントのルート認証情報を使用して AWS リソースにアクセスしないでください。これらの認証情報は無制限のアカウントアクセスを提供し、取り消すのが困難です。

### ステップ 1. で IAM アイデンティティセンターを有効にする AWS Organizations
<a name="awsapps-quick-start-enable-identity-center-with-awsorganizations"></a>

1. 以下のいずれかを行って、 AWS マネジメントコンソールにサインインします。
   + **New to AWS (ルートユーザー)** – **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
   + **スタンドアロン AWS アカウント (IAM 認証情報) AWS で を既に使用** – 管理者権限を持つ IAM 認証情報を使用してサインインします。

1.  AWS マネジメントコンソールのホームページで、IAM Identity Center サービスを選択するか、[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)に移動します。

1. **Enable** を選択し、 を使用して IAM Identity Center を有効にします AWS Organizations。これを行うと、IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)が作成されます。

### ステップ 2. IAM アイデンティティセンターでの管理ユーザーの作成
<a name="awsapps-quick-start-create-an-administrative-user-in-identity-center"></a>

この手順では、組み込みのアイデンティティセンターディレクトリでユーザーを直接作成する方法について説明します。このディレクトリは、管理者がワークフォースユーザーの管理に使用する可能性のある他のディレクトリに接続されていません。IAM アイデンティティセンターでユーザーを作成したら、このユーザーの新しい認証情報を指定します。このユーザーとしてサインインして AWS マネージドアプリケーションをテストすると、企業リソースへのアクセスに使用する既存の認証情報ではなく、新しい認証情報でサインインします。
**注記**  
テスト目的でのみユーザーを作成する場合は、この方法を使用することが推奨されます。

1. IAM アイデンティティセンターコンソールのナビゲーションペインで、**[ユーザー]**、**[ユーザーを追加]** の順に選択します。

1. コンソールのガイダンスに従ってユーザーを追加します。「**パスワード設定手順を記載した E メールをこのユーザーに送信**」を選択したまま、アクセスできる E メールアドレスを指定していることを確認します。

1. ナビゲーションペインで、 を選択し AWS アカウント、アカウントの横にあるチェックボックスをオンにして、**ユーザーまたはグループの割り当て**を選択します。

1. **[ユーザー]** タブを選択し、追加したユーザーの横にあるチェックボックスをオンにして、**[次へ]** を選択します。

1. **[アクセス許可セットの作成]** を選択し、コンソールのガイダンスに従って `AdministratorAccess` の事前定義されたアクセス許可セットを作成します。

1. 完了すると、新しいアクセス許可セットがリストに表示されます。ブラウザウィンドウの**[アクセス許可セット]** タブを閉じて、**[ユーザーとグループの割り当て]** タブに戻り、アクセス**[許可セットの作成]** の横にある更新アイコンを選択します。

1. **[ユーザーとグループのブラウザの割り当て]** タブに、新しいアクセス許可セットがリストに表示されます。アクセス許可セットの名前の横にあるチェックボックスを選択し、**[次]** へを選択し、**[送信]** を選択します。

1.  コンソールからサインアウトします。

### ステップ 3. 管理者ユーザーとして AWS アクセスポータルにサインインする
<a name="awsapps-quick-start-sign-in-to-aws-access-portal-as-administrative-user"></a>

 AWS アクセスポータルは、作成したユーザーに AWS マネジメントコンソールへのアクセスを提供するウェブポータルです。 AWS アクセスポータルにサインインする前に、IAM アイデンティティセンターへの参加の招待を承諾し、ユーザー認証情報をアクティブ化する必要があります。

1. E メールの件名で「** AWS IAM アイデンティティセンターへの参加を招待する**」を確認してください。

1. **[招待を受け入れる]** を選択し、サインアップページのガイダンスに従って、ユーザーの新しいパスワードの設定、サインイン、MFA デバイスの登録を行います。

1. MFA デバイスを登録すると、 AWS アクセスポータルが開きます。

1.  AWS アクセスポータルで、 AWS アカウント を選択し、**AdministratorAccess** を選択します。 AWS 管理コンソールにリダイレクトされます。

### ステップ 4. IAM Identity Center を使用するように AWS マネージドアプリケーションを設定する
<a name="awsapps-quick-start-configure-aws-managed-app-to-use-identity-center"></a>

1.  AWS マネジメントコンソールにサインインしている間、使用する AWS マネージドアプリケーションのコンソールを開きます。

1. コンソールのガイダンスに従って、IAM Identity Center を使用するように AWS マネージドアプリケーションを設定します。このプロセス中に、作成したユーザーをアプリケーションに割り当てることができます。

## AWS マネージドアプリケーションをテストするための IAM Identity Center のアカウントインスタンスの設定
<a name="awsapps-quick-start-setting-up-account-instance-identity-center-to-test-awsmanagedapps"></a>

**注記**  
IAM アイデンティティセンターのアカウントインスタンスにより、デプロイは単一の AWS アカウントに制限されます。このインスタンスは、テストする AWS アプリケーション AWS リージョン と同じ で有効にする必要があります。

**アプリを確認する**

 IAM アイデンティティセンターと連携するすべての AWS マネージドアプリケーションは、IAM アイデンティティセンターの組織インスタンスで使用できます。ただし、これらのアプリケーションの一部のみを IAM アイデンティティセンターのアカウントインスタンスで使用できます。[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md) のリストを確認します。

### ステップ 1. IAM アイデンティティセンターのアカウントインスタンスを有効にする
<a name="awsapps-quick-start-enable-account-instance-identity-center"></a>

1. 以下のいずれかを行って、 AWS マネジメントコンソールにサインインします。
   + **New to AWS (ルートユーザー)** – **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
   + **スタンドアロン AWS アカウント (IAM 認証情報) AWS で を既に使用** – 管理者権限を持つ IAM 認証情報を使用してサインインします。

1.  AWS マネジメントコンソールのホームページで、IAM Identity Center サービスを選択するか、[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)に移動します。

1. **[有効化]** を選択します。

1. **[ AWS Organizationsで IAM アイデンティティセンターを有効にする]** ページで、**[IAM アイデンティティセンターのアカウントインスタンスを有効にする]**を選択します。

1. **[IAM アイデンティティセンターのアカウントインスタンスを有効にする]**ページで、情報を確認し、オプションでこのアカウントインスタンスに関連付けるタグを追加します。次に、**[Enable]** (有効化) を選択します。

### ステップ 2. IAM アイデンティティセンターでユーザーを作成する
<a name="awsapps-quick-start-create-user-in-identity-center"></a>

この手順では、組み込みのアイデンティティセンターディレクトリでユーザーを直接作成する方法について説明します。このディレクトリは、管理者がワークフォースユーザーの管理に使用する可能性のある他のディレクトリに接続されていません。IAM アイデンティティセンターでユーザーを作成したら、このユーザーの新しい認証情報を指定します。このユーザーとしてサインインして AWS マネージドアプリケーションをテストすると、新しい認証情報でサインインします。新しい認証情報では、他の企業リソースにアクセスすることはできません。
**注記**  
テスト目的でのみユーザーを作成する場合は、この方法を使用することが推奨されます。

1. IAM アイデンティティセンターコンソールのナビゲーションペインで、**[ユーザー]**、**[ユーザーを追加]** の順に選択します。

1. コンソールのガイダンスに従ってユーザーを追加します。「**パスワード設定手順を記載した E メールをこのユーザーに送信**」を選択したまま、アクセスできる E メールアドレスを指定していることを確認します。

1.  コンソールからサインアウトします。

### ステップ 3. IAM Identity Center ユーザーとして AWS アクセスポータルにサインインする
<a name="awsapps-quick-start-sign-in-to-aws-access-portal-as-user"></a>

 AWS アクセスポータルは、作成したユーザーに AWS マネジメントコンソールへのアクセスを提供するウェブポータルです。 AWS アクセスポータルにサインインする前に、IAM アイデンティティセンターへの参加の招待を承諾し、ユーザー認証情報をアクティブ化する必要があります。

1. E メールの件名で「** AWS IAM アイデンティティセンターへの参加を招待する**」を確認してください。

1. **[招待を受け入れる]** を選択し、サインアップページのガイダンスに従って、ユーザーの新しいパスワードの設定、サインイン、MFA デバイスの登録を行います。

1. MFA デバイスを登録すると、 AWS アクセスポータルが開きます。アプリケーションが利用可能になると、**[アプリケーション]** タブに表示されます。
**注記**  
AWS アカウントインスタンスをサポートするアプリケーションを使用すると、ユーザーは追加のアクセス許可を必要とせずにアプリケーションにサインインできます。したがって、**[アカウント]** タブは空のままになります。

### ステップ 4. IAM Identity Center を使用するように AWS マネージドアプリケーションを設定する
<a name="awsapps-quick-start-configure-aws-managed-app-to-use-account-instance-identity-center"></a>

1.  AWS マネジメントコンソールにサインインしている間、使用する AWS マネージドアプリケーションのコンソールを開きます。

1. コンソールのガイダンスに従って、IAM Identity Center を使用するように AWS マネージドアプリケーションを設定します。このプロセス中に、作成したユーザーをアプリケーションに割り当てることができます。

# AWS マネージドアプリケーションの詳細の表示と変更
<a name="aws-managed-applications-view-details"></a>

アプリケーションのコンソールまたは APIs を使用して AWS マネージドアプリケーションを IAM アイデンティティセンターに接続すると、アプリケーションは IAM アイデンティティセンターに登録されます。アプリケーションが IAM アイデンティティセンターに登録されると、IAM アイデンティティセンターコンソール上でアプリケーションの詳細を確認および変更できます。

アプリケーションに関する情報には、ユーザーとグループの割り当てが必要かどうか、該当する場合は ID を伝播するために割り当てられたユーザーとグループ、および信頼できるアプリケーションが含まれます。信頼できる ID 伝播の詳細については、「[信頼できる ID の伝播の概要](trustedidentitypropagation-overview.md)」を参照してください。

**IAM Identity Center コンソールで AWS マネージドアプリケーションに関する情報を表示および変更するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. **[Applications]** (アプリケーション) を選択します。

1. **[AWS マネージド]** タブを選択します。

1. 確認したいマネージドアプリケーションのリンクを選択します。

1.  AWS マネージドアプリケーションに関する情報を変更する場合は、**「アクション**」を選択し、**「詳細の編集**」を選択します。

1. アプリケーションの表示名、説明、およびユーザーやグループの割り当て方法を変更できます。

   1. 表示名を変更するには、表示名フィールドに希望の**名前**を入力し、**[変更の保存]** を選択します。

   1. 説明を変更するには、**[説明]** フィールドに希望の説明文を入力し、**[変更の保存]** を選択します。

   1. ユーザーとグループの割り当て方法を変更するには、必要な変更を行い、**[変更の保存]** を選択します。詳細については、「[IAM アイデンティティセンターにおけるユーザー、グループ、およびプロビジョニング](users-groups-provisioning.md)」を参照してください。

# AWS マネージドアプリケーションの無効化
<a name="awsapps-remove"></a>

ユーザーが AWS マネージドアプリケーションに対して認証されないようにするには、IAM Identity Center コンソールでアプリケーションを無効にします。

**AWS マネージドアプリケーションを無効にするには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. **[Applications]** (アプリケーション) を選択します。

1. [**アプリケーション**] ページの [**AWS マネージドアプリケーション**] で、無効にするアプリケーションを選択します。

1. アプリケーションを選択した状態で、[**アクション**] を選択し、[**無効にする**] を選択します。

1. **[アプリケーションの無効化]** ダイアログボックスで、**[無効化]** を選択します。

1. [**AWS マネージドアプリケーション**] リストでは、アプリケーションの状態は [**非アクティブ**」と表示されます。

**注記**  
 AWS マネージドアプリケーションが無効になっている場合は、**Actions** を選択してから **Enable** を選択することで、アプリケーションに対して認証できるユーザーを復元できます。

# ID 拡張コンソールセッションの有効化
<a name="identity-enhanced-sessions"></a>

コンソールのアイデンティティ拡張セッションは、ユーザーのエクスペリエンスをパーソナライズするための追加のユーザーコンテキストを提供することで、ユーザーの AWS コンソールセッションを強化します。この機能は現在、[AWS アプリやウェブサイトで Kiro の Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html) Pro ユーザーに対してサポートされています。

既存のアクセスパターンやコンソールへのフェデレーションを変更することなく、アイデンティティが強化された AWS コンソールセッションを有効にできます。ユーザーが IAM を使用して AWS コンソールにサインインする場合 (たとえば、IAM ユーザーとしてサインインする場合や、IAM によるフェデレーティッドアクセスを通じてサインインする場合）、これらのメソッドを引き続き使用できます。ユーザーが AWS アクセスポータルにサインインすると、IAM Identity Center のユーザー認証情報を引き続き使用できます。

**Topics**
+ [前提条件と考慮事項](#prereqs-and-considerations)
+ [ID 拡張コンソールセッションを有効にする方法](#enable-identity-enhanced-sessions-q)
+ [ID 拡張コンソールセッションの仕組み](#how-identity-enhanced-sessions-work)

## 前提条件と考慮事項
<a name="prereqs-and-considerations"></a>

ID 拡張コンソールセッションを有効にする前に、以下の前提条件と考慮事項を確認してください。
+ ユーザーが Kiro Pro サブスクリプションを介して AWS アプリやウェブサイトで Kiro にアクセスする場合は、アイデンティティ強化コンソールセッションを有効にする必要があります。
**注記**  
Kiro ユーザーは ID 拡張セッションなしで Kiro にアクセスできますが、Kiro Pro サブスクリプションにはアクセスできません。
+ ID 拡張コンソールセッションには、IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)が必要です。
+ オプトインで IAM Identity Center を有効にした場合、Kiro との統合はサポートされていません AWS リージョン。
+ ID 拡張コンソールセッションを有効にするには、次のアクセス許可が必要です。
  + `sso:CreateApplication`
  + `sso:GetSharedSsoConfiguration`
  + `sso:ListApplications`
  + `sso:PutApplicationAssignmentConfiguration`
  + `sso:PutApplicationAuthenticationMethod`
  + `sso:PutApplicationGrant`
  + `sso:PutApplicationAccessScope`
  + `signin:CreateTrustedIdentityPropagationApplicationForConsole`
  + `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ ユーザーが ID 拡張コンソールセッションを使用できるようにするには、ID ベースのポリシーで `sts:setContext` アクセス許可を付与する必要があります。詳細については、「[ユーザーに ID 拡張コンソールセッションを使用するアクセス許可を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html)」を参照してください。

## ID 拡張コンソールセッションを有効にする方法
<a name="enable-identity-enhanced-sessions-q"></a>

Kiro コンソールまたは IAM Identity Center コンソールで ID 拡張コンソールセッションを有効にできます。

**Kiro コンソールでアイデンティティ拡張コンソールセッションを有効にする**

ID 拡張コンソールセッションを有効にする前に、ID ソースが接続された IAM アイデンティティセンターの組織インスタンスが必要です。IAM アイデンティティセンターを既に設定している場合は、ステップ 3 に進みます。

1. IAM Identity Center コンソールを開きます。**[有効化]** を選択し、IAM アイデンティティセンターの組織インスタンスを作成します。詳細については、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。

1. ID ソースを IAM アイデンティティセンターに接続し、ユーザーを IAM アイデンティティセンターにプロビジョニングします。既存の ID ソースを IAM アイデンティティセンターに接続するか、あるいは別に使用している ID ソースがない場合は イデンティティセンターディレクトリを利用できます。詳細については、「[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)」を参照してください。

1. IAM アイデンティティセンターの設定が完了したら、Kiro コンソールを開き、*Kiro ユーザーガイド*[のサブスクリプション](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html)のステップに従います。ID 拡張コンソールセッションを必ず有効にしてください。
**注記**  
ID 拡張コンソールセッションを有効にするのに十分なアクセス許可がない場合は、IAM アイデンティティセンター管理者に依頼して IAM アイデンティティセンターコンソール上でこのタスクを実行してもらってください。詳細については、次の手順を参照してください。

**IAM アイデンティティセンターコンソールで ID 拡張コンソールセッションを有効にする**

IAM アイデンティティセンター管理者は、別の管理者から IAM アイデンティティセンターコンソールでの ID 拡張コンソールセッションの有効化を依頼されることがあります。

1. IAM Identity Center コンソールを開きます。

1. ナビゲーションペインで **[設定]** を選択します。

1. **[ID 拡張セッションを有効にする]** で、**[有効化]** を選択します。

1. 次に表示されるメッセージに対して、**[有効化]** を再度選択します。

1. ID 拡張コンソールセッションの有効化が完了すると、**[設定]** ページの上部に確認メッセージが表示されます。

1. **[詳細]** セクションに表示される **[ID 拡張セッション]** のステータスが **[有効]** になっているはずです。

## ID 拡張コンソールセッションの仕組み
<a name="how-identity-enhanced-sessions-work"></a>

IAM アイデンティティセンターでユーザーの現在のコンソールセッションを拡張することで、アクティブな IAM アイデンティティセンターユーザー ID と IAM アイデンティティセンターセッション ID を含むようにすることができます。

ID 拡張コンソールセッションには、次の 3 つの値が含まれます。
+ **Identity Store ユーザー ID** ([identitystore:UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)) - この値は、IAM アイデンティティセンターに接続されている ID ソース内のユーザーを一意に識別するのに使用されます。
+ **ID ストアディレクトリ ARN** ([identitystore:IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)) - この値は、IAM アイデンティティセンターに接続され、`identitystore:UserId` の属性検索を可能にする ID ストアの ARN です。
+ **IAM アイデンティティセンターセッション ID** - この値は、ユーザーの IAM アイデンティティセンターセッションがまだ有効かどうかを示します。

値は同じですがさまざまな方法で取得され、ユーザーがサインインする方法に応じてプロセスのさまざまなポイントに追加されます。
+ **IAM Identity Center (AWS アクセスポータル)**: この場合、ユーザーの ID ストアユーザー ID と ARN 値は、アクティブな IAM Identity Center セッションで既に指定されています。IAM アイデンティティセンターには、セッション ID のみを追加することで現在のセッションを拡張する機能があります。
+ **その他のサインイン方法**: ユーザーが IAM ユーザー、IAM ロール、または IAM のフェデレーションユーザーとして AWS にサインインする場合、これらの値は提供されません。IAM アイデンティティセンターは、ID ストアユーザー ID、ID ストアディレクトリ ARN、およびセッション ID を追加することで現在のセッションを拡張します。