翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM アイデンティティセンターを使用した開始方法
以下は、IAM アイデンティティセンターの使用を開始する方法の概要です。
1. **IAM Identity Center を有効にする**
[IAM アイデンティティセンターを有効にする](enable-identity-center.md)ときは、2 種類の IAM アイデンティティセンターインスタンスから選択します。これらのタイプは、[*組織インスタンス*](organization-instances-identity-center.md) (推奨) と[*アカウントインスタンス*](account-instances-identity-center.md)です。これらのインスタンスタイプのさまざまな機能の詳細については、[「IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス」](identity-center-instances.md)を参照してください。
**注記**
IAM アイデンティティセンターを有効にすると、次のいずれかを実行してサインインし、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com//singlesignon/)を開くことができます。
**組織インスタンス** - 管理アカウントの管理権限を持つ認証情報 AWS を使用して にサインインします。
**アカウントインスタンス** - IAM Identity Center が有効になってい AWS アカウント る で、管理者権限を持つ認証情報 AWS を使用して にサインインします。
1. **ID ソースを IAM アイデンティティセンターに接続するには**
IAM アイデンティティセンターコンソールで、使用する ID ソースを確認します。ID ソースについては、以下を参照してください。
+ **外部 ID プロバイダー** - ワークフォースユーザーを管理する既存の ID プロバイダーがある場合は、IAM アイデンティティセンターに接続できます。一般的な ID プロバイダーを IAM アイデンティティセンターと連携するための設定方法の詳細については、「[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)」を参照してください。
+ **Active Directory** - Active Directory を使用してワークフォースユーザーを管理している場合は、IAM アイデンティティセンターに接続できます。詳細については、「[Active Directory を ID ソースとして使用する](gs-ad.md)」を参照してください。
+ **IAM アイデンティティセンター** - または、[IAM アイデンティティセンターでユーザーとグループを直接作成および管理](quick-start-default-idc.md)できます。
**注記**
現在、IAM アイデンティティセンターでのマルチリージョン設定を利用するには、外部 ID プロバイダーを ID ソースとして使用する必要があります。この設定の利点の詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。
1. **へのユーザーアクセスを設定する AWS アカウント (組織インスタンスのみ)**
IAM Identity Center の組織インスタンスを使用している場合は、[アクセス許可セット](https://docs.aws.amazon.com//singlesignon/latest/userguide/permissionsetsconcept.html)を使用して [および リソースへのアクセス権をユーザーに付与し、ユーザーまたはグループ AWS アカウント](https://docs.aws.amazon.com//singlesignon/latest/userguide/assignusers.html)アクセスを に割り当てることができます。 AWS アカウント
1. **アプリケーションへのユーザーアクセスを設定する**
IAM アイデンティティセンターを使用すると、次の 2 種類のアプリケーションへのアクセス権をユーザーに付与できます。
1. **[AWS マネージドアプリケーション](awsapps.md)**
+ IAM Identity Center は、Amazon Q Business AWS CLI、Amazon Redshift などの AWS マネージドアプリケーションで使用できます。詳細については、「[AWS マネージドアプリケーション](awsapps.md)」および「[CLI AWS と IAM Identity Center の統合](integrating-aws-cli.md)」を参照してください。
1. **[カスタマーマネージドアプリケーション](customermanagedapps.md)**
+ 次のいずれかのタイプのカスタマーマネージドアプリケーションを IAM アイデンティティセンターと統合できます。
+ [IAM アイデンティティセンターにリストされているアプリケーション](saasapps.md)
+ [カスタムアプリケーション](customermanagedapps-set-up-your-own-app-saml2.md)
+ アプリケーションを設定したら、[ユーザーにアプリケーションへのアクセスを割り当てる](assignuserstoapp.md)ことができます。
1. ** AWS アクセスポータルのサインイン手順をユーザーに提供する**
AWS アクセスポータルは、割り当てられたすべてのアプリケーション AWS アカウント、またはその両方へのシームレスなアクセスをユーザーに提供するウェブポータルです。IAM Identity Center の新規ユーザーは、 AWS アクセスポータルにサインインする前にユーザー認証情報をアクティブ化する必要があります。
AWS アクセスポータルにサインインする方法については、「 *AWS サインイン ユーザーガイド*」の[AWS 「 アクセスポータルにサインインする](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html)」を参照してください。 AWS アクセスポータルのサインインプロセスの詳細については、[AWS 「 アクセスポータルへのサインイン](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtosignin.html)」を参照してください。
# IAM アイデンティティセンターに関する前提条件と考慮事項
IAM アイデンティティセンターは、 AWS マネージドアプリケーションのみ、 AWS アカウント のみ、またはその両方へのアクセスに使用できます。へのアクセスを管理するために IAM フェデレーションを使用している場合は AWS アカウント、アプリケーションアクセスに IAM アイデンティティセンターを使用している間も引き続きアクセスできます。
IAM アイデンティティセンターを有効にする前に次の点を考慮します。
+ AWS リージョン
まず、IAM Identity Center のインスタンスごとに、[サポートされている](regions.md)単一のリージョンで IAM Identity Center を有効にします。 AWS アカウントへのシングルサインオンアクセスに IAM アイデンティティセンターを使用する場合は、組織内のすべてのユーザーがリージョンにアクセスできる必要があります。アプリケーションアクセスに IAM アイデンティティセンターを使用する場合は、Amazon SageMaker AI などの一部の AWS マネージドアプリケーションは、サポートするリージョンでのみ動作できることに注意してください。また、ほとんどの AWS マネージドアプリケーションでは、IAM Identity Center をアプリケーションと同じリージョンで使用できるようにする必要があります。これは、同じ リージョンにそれらを共同配置するか、サポートされている場合は、IAM Identity Center インスタンスを AWS マネージドアプリケーションの必要なデプロイリージョンにレプリケートすることで実現できます。詳細については、「[の選択に関する考慮事項 AWS リージョン](identity-center-region-considerations.md)」を参照してください。
+ アプリケーションアクセスのみ
IAM Identity Center は、既存の ID プロバイダーを使用して Kiro などのアプリケーションへのユーザーアクセスにのみ使用できます。詳細については、「[アプリケーションへのユーザーアクセスのみに IAM アイデンティティセンターを使用する](identity-center-for-apps-only.md)」を参照してください。
**注記**
アプリケーションリソースへのアクセスは、アプリケーション所有者によって個別に管理されます。
+ IAM ロールのクォータ
IAM アイデンティティセンターは、IAM ロールを作成して、ユーザーにアカウントリソースへのアクセス許可を付与します。詳細については、「[IAM アイデンティティセンターによって作成される IAM ロール](identity-center-and-iam-roles.md)」を参照してください。
+ IAM アイデンティティセンターと AWS Organizations
AWS Organizations IAM Identity Center で使用するには、 が推奨されますが、必須ではありません。組織をまだ設定していない場合は、設定する必要はありません。をセットアップ AWS Organizations 済みで、組織に IAM Identity Center を追加する場合は、すべての AWS Organizations 機能が有効になっていることを確認してください。詳細については、「[IAM アイデンティティセンターと AWS Organizations](identity-center-and-orgs.md)」を参照してください。
アクセスポータルや IAM Identity Center コンソールを含む IAM Identity Center ウェブインターフェイスは、サポートされているウェブブラウザを介して人間がアクセスすることを目的としています。互換性のあるブラウザには、Microsoft Edge、Mozilla Firefox、Google Chrome、Apple Safari の 3 つの最新バージョンが含まれています。ブラウザベース以外のパスを使用したこれらのエンドポイントへのアクセスはサポートされていません。IAM Identity Center サービスへのプログラムによるアクセスには、IAM Identity Center および Identity Store APIs リファレンスガイドに記載されている API を使用することをお勧めします。
# の選択に関する考慮事項 AWS リージョン
IAM Identity Center は、選択した 1 つの で有効に AWS リージョン でき、世界中のユーザーが利用できます。このグローバルな可用性により、複数の AWS アカウント およびアプリケーションへのユーザーアクセスを簡単に設定できます。以下は、 AWS リージョンを選択する際の主な考慮事項です。
+ **ユーザーの地理的位置** – エンドユーザーの大部分に最も地理的に近いリージョンを選択すると、Amazon SageMaker AI などの AWS アクセスポータルや AWS マネージドアプリケーションへのアクセスのレイテンシーが低くなります。
+ **オプトインリージョン (デフォルトで無効になっているリージョン)** – オプトインリージョンは、デフォルトで無効 AWS リージョン になっている です。オプトインリージョンで使用するには、それを有効にする必要があります。詳細については、「[オプトインリージョンでの IAM アイデンティティセンターの管理](regions.md#manually-enabled-regions)」を参照してください。
+ **IAM アイデンティティセンターを追加リージョンにレプリケート**する – IAM アイデンティティセンターを追加リージョンにレプリケートする場合は AWS リージョン、デフォルトで有効になっているリージョンを選択する必要があります。詳細については、「[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)」を参照してください。
+ ** AWS マネージドアプリケーションのデプロイリージョンの選択 – **マネージドアプリケーションは、利用可能な AWS リージョン でのみ動作できます。 AWS 多くの AWS マネージドアプリケーションは、IAM アイデンティティセンターが有効化またはレプリケートされているリージョン (プライマリまたは追加のリージョン) でのみ動作できます。IAM Identity Center インスタンスが追加のリージョンへのレプリケーションをサポートしているかどうかを確認するには、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。レプリケーションがオプションでない場合は、 AWS マネージドアプリケーションを使用する予定のリージョンで IAM Identity Center を有効にすることを検討してください。
+ **デジタル主権** – デジタル主権の法規制または組織ポリシーによっては、特定の AWS リージョンの使用が義務付けられる場合があります。組織の法務部に相談してください。
+ **ID ソース** – [AWS Managed Microsoft AD](connectawsad.md)または [Active Directory (AD)](connectonpremad.md) のセルフマネージドディレクトリを ID ソースとして使用している場合、そのホームリージョンは IAM アイデンティティセンターを有効に AWS リージョン した と一致する必要があります。
+ **Amazon Simple Email Service を使用したクロスリージョン E メール** – 一部のリージョンでは、IAM アイデンティティセンターが別のリージョンの [Amazon Simple Email Service (Amazon SES) ](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)を呼び出して E メールを送信する場合があります。これらのクロスリージョン呼び出しでは、IAM アイデンティティセンターは特定のユーザー属性を他のリージョンに送信します。詳細については、「[Amazon SES を使用したクロスリージョン E メール](regions.md#cross-region-calls)」を参照してください。
+ **AWS Control Tower** – IAM Identity Center の組織インスタンスを から有効にする場合 AWS Control Tower、インスタンスは AWS Control Tower ランディングゾーンと同じリージョンに作成されます。
**Topics**
+ [IAM アイデンティティセンターリージョンのデータストレージとオペレーション](regions.md)
+ [切り替え AWS リージョン](switching-regions.md)
+ [IAM Identity Center AWS リージョン が有効になっている の無効化](disabling-region-with-identity-center.md)
# IAM アイデンティティセンターリージョンのデータストレージとオペレーション
IAM アイデンティティセンターが AWS リージョン全体でデータストレージとオペレーションを処理する方法について説明します。
## IAM アイデンティティセンターがデータを保存する方法を理解する
IAM Identity Center を有効にすると、IAM Identity Center で設定したすべてのデータが、有効にしたリージョンに保存されます。このデータには、ディレクトリ設定、アクセス許可セット、アプリケーションインスタンス、 AWS アカウント アプリケーションへのユーザー割り当てが含まれます。IAM Identity Center の ID ストアを使用している場合、IAM Identity Center で作成したすべてのユーザーとグループも同じリージョンに保存されます。IAM Identity Center インスタンスを追加のリージョンにレプリケートする場合、IAM Identity Center はユーザー、グループ、アクセス許可セットとその割り当て、およびその他のメタデータと設定をそれらのリージョンに自動的にレプリケートします。
## Amazon SES を使用したクロスリージョン E メール
IAM アイデンティティセンターは、エンドユーザーがワンタイムパスワード (OTP) を第 2 認証要素として使用してサインインしようとすると、[Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) を使用して E メールを送信します。これらの E メールは、ユーザーが初期パスワードの設定、E メールアドレスの検証、パスワードのリセットを依頼されたときなど、特定の ID および認証情報の管理イベントでも送信されます。Amazon SES は、IAM Identity Center がサポート AWS リージョン する のサブセットで使用できます。
IAM Identity Center は、Amazon SES が AWS リージョンでローカルで利用可能な場合に Amazon SES ローカルエンドポイントを呼び出します。Amazon SES がローカルで利用できない場合、IAM Identity Center は次の表に示すように、別の AWS リージョンで Amazon SES エンドポイントを呼び出します。
| IAM Identity Center リージョンコード | IAM Identity Center リージョン名 | Amazon SES リージョンコード | Amazon SES リージョン名 |
| --- | --- | --- | --- |
| ap-east-1 | アジアパシフィック (香港) | ap-northeast-2 | アジアパシフィック (ソウル) |
| ap-east-2 | アジアパシフィック (台北) | ap-northeast-1 | アジアパシフィック (東京) |
| ap-south-2 | アジアパシフィック (ハイデラバード) | ap-south-1 | アジアパシフィック (ムンバイ) |
| ap-southeast-4 | アジアパシフィック (メルボルン) | ap-southeast-2 | アジアパシフィック (シドニー) |
| ap-southeast-5 | アジアパシフィック (マレーシア) | ap-southeast-1 | アジアパシフィック (シンガポール) |
| ap-southeast-6 | アジアパシフィック (ニュージーランド) | ap-southeast-2 | アジアパシフィック (シドニー) |
| ap-southeast-7 | アジアパシフィック (タイ) | ap-northeast-3 | アジアパシフィック (大阪) |
| ca-west-1 | カナダ西部 (カルガリー) | ca-central-1 | カナダ (中部) |
| eu-south-2 | 欧州 (スペイン) | eu-west-3 | 欧州 (パリ) |
| eu-central-2 | 欧州 (チューリッヒ) | eu-central-1 | 欧州 (フランクフルト) |
| mx-central-1 | メキシコ (中部) | us-east-2 | 米国東部 (オハイオ) |
| me-central-1 | 中東 (アラブ首長国連邦) | eu-central-1 | 欧州 (フランクフルト) |
| us-gov-east-1 | AWS GovCloud (米国東部) | us-gov-west-1 | AWS GovCloud (米国西部) |
これらのクロスリージョン呼び出しでは、IAM Identity Center は次のユーザー属性を送信する場合があります。
+ E メールアドレス
+ 名
+ 姓
+ のアカウント AWS Organizations
+ AWS アクセスポータル URL
+ ユーザー名
+ ディレクトリ ID
+ ユーザー ID
## オプトインリージョン (デフォルトで無効になっているリージョン) での IAM アイデンティティセンターの管理
ほとんどの AWS リージョン はデフォルトですべての AWS サービスでオペレーションに対して有効になっていますが、IAM Identity Center を使用する場合は、次の[オプトインリージョン](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion)を有効にする必要があります。
+ アフリカ (ケープタウン)
+ アジアパシフィック (香港)
+ アジアパシフィック (台北)
+ アジアパシフィック (ハイデラバード)
+ アジアパシフィック (ジャカルタ)
+ アジアパシフィック (メルボルン)
+ アジアパシフィック (マレーシア)
+ アジアパシフィック (ニュージーランド)
+ アジアパシフィック (タイ)
+ カナダ西部 (カルガリー)
+ 欧州 (ミラノ)
+ 欧州 (スペイン)
+ 欧州 (チューリッヒ)
+ イスラエル (テルアビブ)
+ メキシコ (中部)
+ 中東 (バーレーン)
+ 中東 (アラブ首長国連邦)
オプトインリージョンに IAM アイデンティティセンターをデプロイする場合は、IAM アイデンティティセンターへのアクセスを管理するすべてのアカウントでこのリージョンを有効にする必要があります。すべてのアカウントで、そのリージョンにリソースを作成するかどうかにかかわらず、この設定が必要です。組織内の現在のアカウントで特定のリージョンを有効にできます。新しいアカウントを追加する場合は、このアクションを繰り返す必要があります。手順については、「*AWS Organizations ユーザーガイド*」の「[組織内のリージョンを有効または無効にする](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)」を参照してください。これらの追加ステップの繰り返しを回避するため、[デフォルトで有効になっているリージョン](#regions-enabled-by-default)に対して IAM アイデンティティセンターをデプロイするよう選択できます。
**注記**
AWS メンバーアカウントは、 AWS アクセスポータルから AWS メンバーアカウントにアクセスできるように、IAM Identity Center インスタンスがあるオプトインリージョンと同じリージョンにオプトインする必要があります。
**オプトインリージョンに保存されているメタデータ**
オプトインで管理アカウントの IAM アイデンティティセンターを有効にすると AWS リージョン、メンバーアカウントの次の IAM アイデンティティセンターメタデータがリージョンに保存されます。
+ アカウント ID
+ アカウント名
+ 連絡先 E メール
+ IAM Identity Center がメンバーアカウントに作成する IAM ロールの Amazon リソースネーム (ARN)
## AWS リージョン デフォルトで有効になっている
以下のリージョンはデフォルトで有効になっており、これらのリージョンで IAM アイデンティティセンターを有効にできます。
+ 米国東部(オハイオ)
+ 米国東部 (バージニア北部)
+ 米国西部 (オレゴン)
+ 米国西部 (北カリフォルニア)
+ 欧州 (パリ)
+ 南米 (サンパウロ)
+ アジアパシフィック (ムンバイ)
+ 欧州 (ストックホルム)
+ アジアパシフィック (ソウル)
+ アジアパシフィック (東京)
+ 欧州 (アイルランド)
+ 欧州 (フランクフルト)
+ 欧州 (ロンドン)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ カナダ (中部)
+ アジアパシフィック (大阪)
# 切り替え AWS リージョン
IAM Identity Center は、無効にする必要のあるリージョンではなく、ユーザーが利用できるようにしておきたいリージョンにインストールすることをお勧めします。詳細については、「[の選択に関する考慮事項 AWS リージョン](identity-center-region-considerations.md)」を参照してください。
IAM アイデンティティセンターリージョンの切り替えは、[現在の IAM アイデンティティセンターインスタンスを削除し](delete-config.md)、別のリージョンに新しいインスタンスを作成することによってのみ可能です。既存のインスタンスで AWS マネージドアプリケーションを既に有効にしている場合は、IAM アイデンティティセンターを削除する前に、そのアプリケーションを削除する必要があります。 AWS マネージドアプリケーションを無効にする手順については、「」を参照してください[AWS マネージドアプリケーションの無効化](awsapps-remove.md)。
**注記**
IAM アイデンティティセンターリージョンを切り替えて別のリージョンに AWS マネージドアプリケーションのデプロイを有効にする場合は、代わりに IAM アイデンティティセンターインスタンスをそのリージョンにレプリケートすることを検討してください。詳細については、「[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)」を参照してください。
**新しいリージョンの設定に関する考慮事項**
ユーザー、グループ、アクセス許可セット、アプリケーション、割り当てを新しい IAM アイデンティティセンターインスタンスで再作成する必要があります。IAM アイデンティティセンターアカウントとアプリケーション割り当て [API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) を使用して現在の設定のスナップショットを取得し、そのスナップショットを使用して新しいリージョンで設定を再構築できます。別のリージョンに切り替えると、 [AWS アクセスポータル](using-the-portal.md)の URL も変更されます。これにより、ユーザーは AWS アカウント および アプリケーションへのシングルサインオンアクセスが可能になります。あるいは、新しいインスタンスの管理コンソールを使用して、一部の IAM アイデンティティセンター設定を再作成する必要がある場合もあります。
# IAM Identity Center AWS リージョン が有効になっている の無効化
IAM Identity Center AWS リージョン がインストールされている を無効にすると、IAM Identity Center も無効になります。IAM アイデンティティセンターをリージョンで無効にすると、そのリージョンのユーザーは AWS アカウント とアプリケーションにシングルサインオンアクセスできなくなります。
オ[プトイン AWS リージョン](regions.md#manually-enabled-regions)で IAM アイデンティティセンターを再度有効にするには、リージョンを再度有効にする必要があります。IAM アイデンティティセンターでは一時停止中のイベントをすべて再処理する必要があるため、IAM アイデンティティセンターを再度有効にするとしばらく時間がかかる場合があります。
**注記**
IAM Identity Center は、 での使用が有効になってい AWS アカウント る へのアクセスのみを管理できます AWS リージョン。組織内のすべてのアカウントへのアクセスを管理するには、IAM Identity Center で使用するために自動的にアクティブ化 AWS リージョン される の管理アカウントで IAM Identity Center を有効にします。
の有効化と無効化の詳細については AWS リージョン、 *AWS 全般のリファレンス*の[「 の管理 AWS リージョン](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)」を参照してください。
# アプリケーションへのユーザーアクセスのみに IAM アイデンティティセンターを使用する
Kiro などのアプリケーション、またはその両方へのユーザーアクセスに AWS アカウント IAM Identity Center を使用できます。既存の ID プロバイダーを接続し、ディレクトリからユーザーとグループを同期することも、[IAM アイデンティティセンターで直接ユーザーを作成・管理することもできます](quick-start-default-idc.md)。既存の ID プロバイダーを IAM アイデンティティセンターに接続する方法については、「[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)」を参照してください。
**へのアクセスに IAM を既に使用していますか AWS アカウント?**
AWS マネージドアプリケーションへのアクセスに IAM Identity Center を使用するには、現在の AWS アカウント ワークフローを変更する必要はありません。アクセスに [IAM とのフェデレーション](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)を使用している場合、ユーザーは常に持っているのと同じ AWS アカウント 方法で AWS アカウント に引き続きアクセスでき、既存のワークフローを引き続き使用してそのアクセスを管理できます。
# IAM アイデンティティセンターによって作成される IAM ロール
AWS アカウントにユーザーを割り当てると、IAM アイデンティティセンターは IAM ロールを作成して、ユーザーに リソースへのアクセス許可を付与します。
権限セットを割り当てると、IAM アイデンティティセンターは、IAM アイデンティティセンターでコントロールされる対応する IAM ロールを各アカウントに作成し、権限セットで指定されたポリシーをそれらのロールにアタッチします。IAM Identity Center は、 AWS アクセスポータルまたは を使用してロールを管理し、定義した承認されたユーザーがロールを引き受けることを許可します AWS CLI。アクセス権限セットを変更すると、IAM Identity Center は、対応する IAM ポリシーとロールがそれに応じて更新されることを保証します。IAM Identity Center インスタンスを追加のリージョンにレプリケートしても、既存の IAM ロールには影響せず、新しい IAM ロールも作成されません。
**注記**
アクセス許可セットは、アプリケーションにアクセス許可を付与するために使用されません。
で IAM ロールを既に設定している場合は AWS アカウント、アカウントが IAM ロールのクォータに近づいているかどうかを確認することをお勧めします。アカウントあたりの IAM ロールのデフォルトクォータは 1000 ロールです。詳細については、「[IAM オブジェクトクォータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)」を参照してください。
クォータに近づいている場合は、クォータの増額をリクエストすることを検討してください。そうしないと、IAM ロールクォータを超えたアカウントにアクセス権限セットをプロビジョニングする際に、IAM Identity Center の問題が発生する可能性があります。クォータ引き上げのリクエストの詳細情報については、「*Service Quotas ユーザーガイド*」の「[クォータ引き上げリクエスト](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)」を参照してください。
**注記**
すでに IAM アイデンティティセンターを使用しているアカウントの IAM ロールを確認している場合は、ロール名が “AWSReservedSSO\$1” で始まることに気づくかもしれません。これらは、IAM Identity Center サービスがアカウントに作成したロールであり、アカウントにアクセス権限セットを割り当てたものです。
# IAM アイデンティティセンターと AWS Organizations
AWS Organizations IAM Identity Center で使用するには、 が推奨されますが、必須ではありません。組織をまだ設定していない場合は、設定する必要はありません。IAM Identity Center を有効にする場合、 でサービスを有効にするかどうかを選択します AWS Organizations。組織を設定すると、組織をセットアップ AWS アカウント する が組織の管理アカウントになります。 AWS アカウント のルートユーザーが組織管理アカウントの所有者になりました。組織に追加で招待したすべて AWS アカウント は、メンバーアカウントです。管理アカウントは、メンバーアカウントを管理する組織リソース、組織単位、およびポリシーを作成します。アクセス許可は管理アカウントによってメンバーアカウントに委任されます。
**注記**
で IAM Identity Center を有効にすることをお勧めします。これにより AWS Organizations、IAM Identity Center の組織インスタンスが作成されます。組織インスタンスは IAM アイデンティティセンターのすべての機能をサポートし、一元管理機能を提供するため、おすすめのベストプラクティスです。詳細については、「[IAM アイデンティティセンターの組織インスタンス](organization-instances-identity-center.md)」を参照してください。
をセットアップ AWS Organizations 済みで、組織に IAM Identity Center を追加する場合は、すべての AWS Organizations 機能が有効になっていることを確認してください。組織を作成する際、デフォルトではすべての機能が有効化されています。詳細については、「**AWS Organizations ユーザーガイド」の「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。
IAM Identity Center の組織インスタンスを有効にするには、 AWS Organizations 管理認証情報を持つユーザーまたはルートユーザー (他の管理ユーザーが存在しない場合を除き推奨されません) として管理アカウントにサインイン AWS マネジメントコンソール して、 にサインインする必要があります。詳細については、「 *AWS Organizations ユーザーガイド*[」の AWS 「組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。
AWS Organizations メンバーアカウントの管理認証情報を使用してサインインすると、IAM Identity Center のアカウントインスタンスを有効にできます。アカウントインスタンスの機能は限られており、1 つの AWS アカウントにバインドされます。
# IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス
インスタンスは IAM アイデンティティセンターの単一デプロイです。IAM アイデンティティセンターで使用できるインスタンスには、*組織インスタンス*と*アカウントインスタンス*の 2 種類があります。
+ 組織インスタンス (推奨)
AWS Organizations 管理アカウントで有効にする IAM アイデンティティセンターのインスタンス。組織インスタンスは、IAM アイデンティティセンターのすべての機能をサポートしています。管理ポイントの数を最小限に抑えるには、アカウントインスタンスではなく組織インスタンスをデプロイすることをお勧めします。
+ アカウントインスタンス
単一の にバインドされ AWS アカウント、有効になっている AWS アカウント および AWS リージョン内でのみ表示される IAM Identity Center のインスタンス。よりシンプルな単一アカウントのシナリオでは、 アカウントインスタンスを使用します。以下のいずれかからアカウントインスタンスを有効にできます。
+ によって管理 AWS アカウント されていない AWS Organizations
+ のメンバーアカウント AWS Organizations
## AWS アカウント IAM Identity Center を有効にできる タイプ
IAM Identity Center を有効にするには、作成するインスタンスタイプに応じて、次のいずれかの認証情報 AWS マネジメントコンソール を使用して にサインインします。
+ ** AWS Organizations 管理アカウント (推奨) – **IAM Identity Center の[組織インスタンス](organization-instances-identity-center.md)を作成するために必要です。組織全体でのマルチアカウント権限とアプリケーションの割り当てには、組織インスタンスを使用してください。
+ ** AWS Organizations メンバーアカウント** – IAM Identity Center の[アカウントインスタンス](account-instances-identity-center.md)を作成して、そのメンバーアカウント内のアプリケーション割り当てを有効にします。メンバーレベルのインスタンスを持つ 1 つ以上のアカウントを組織内に持つことができます。
+ **スタンドアロン AWS アカウント** – IAM Identity Center の[組織インスタンス](organization-instances-identity-center.md)または[アカウントインスタンス](account-instances-identity-center.md)を作成するために使用します。スタンドアロン AWS アカウント は によって管理されません AWS Organizations。IAM Identity Center の 1 つのインスタンスのみをスタンドアロンに関連付ける AWS アカウント ことができ、そのインスタンスをスタンドアロン内のアプリケーション割り当てに使用できます AWS アカウント。
次の表を使用して、インスタンスタイプによって提供される機能を比較します。
| 機能 | AWS Organizations 管理アカウントのインスタンス (推奨) | メンバーアカウント内のインスタンス | スタンドアロンのインスタンス AWS アカウント |
| --- | --- | --- | --- |
| ユーザーの管理 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| AWS AWS マネージドアプリケーションへのシングルサインオンアクセス用の アクセスポータル | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| OAuth 2.0 (OIDC) カスタマーマネージドアプリケーション | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png)はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png)はい |
| マルチアカウント権限 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| AWS へのシングルサインオンアクセス用の アクセスポータル AWS アカウント | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| SAML 2.0 カスタマーマネージドアプリケーション | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| 委任管理者がインスタンスを管理できる | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| カスタマーマネージド KMS キーを使用した保管時の暗号化 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| IAM Identity Center を追加のリージョンにレプリケートする | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
AWS マネージドアプリケーションと IAM Identity Center の詳細については、「」を参照してください[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)。
**Topics**
+ [AWS アカウント IAM Identity Center を有効にできる タイプ](#identity-center-instances-account-types)
+ [IAM アイデンティティセンターの組織インスタンス](organization-instances-identity-center.md)
+ [IAM アイデンティティセンターのアカウントインスタンス](account-instances-identity-center.md)
+ [IAM アイデンティティセンターインスタンスを削除する](delete-config.md)
# IAM アイデンティティセンターの組織インスタンス
IAM アイデンティティセンターを と組み合わせて有効にすると AWS Organizations、IAM アイデンティティセンターの組織インスタンスが作成されます。ユーザーとグループのアクセスを 1 つの組織インスタンスで一元管理するには、組織インスタンスは管理アカウントで有効化されている必要があります。 AWS Organizationsでは、各管理アカウントにつき 1 つの組織インスタンスしか作成できません。
2023 年 11 月 15 日より前に IAM アイデンティティセンターを有効にした場合は、IAM アイデンティティセンターの組織インスタンスがあります。
IAM アイデンティティセンターの組織インスタンスを有効にするには、「[IAM アイデンティティセンターのインスタンスを有効にするには](enable-identity-center.md#to-enable-identity-center-instance)」を参照してください。
## 組織インスタンスを使用するタイミング
組織インスタンスは IAM アイデンティティセンターを有効にする主要な方法であり、通常は組織インスタンスが推奨されます。組織インスタンスには、次のような利点があります。
+ **IAM Identity Center のすべての機能のサポート** – 組織 AWS アカウント 内の複数の に対するアクセス許可の管理、カスタマーマネージドアプリケーションへのアクセスの割り当て、マルチリージョンレプリケーションが含まれます。
+ **管理ポイントの削減** — 組織インスタンスには単一の管理ポイント、つまり管理アカウントがあります。管理ポイントの数を減らすには、アカウントインスタンスではなく組織インスタンスを有効にすることをお勧めします。
+ **アカウントインスタンスの作成の一元管理** – オプトインリージョン (デフォルトでAWS リージョン 無効) の組織に IAM アイデンティティセンターのインスタンスをデプロイしていない限り、組織内のメンバーアカウントによってアカウントインスタンスを作成できるかどうかを制御できます。
IAM アイデンティティセンターの組織インスタンスを有効にする手順については、「[IAM アイデンティティセンターのインスタンスを有効にするには](enable-identity-center.md#to-enable-identity-center-instance)」を参照してください。
# IAM アイデンティティセンターのアカウントインスタンス
IAM Identity Center のアカウントインスタンスを使用すると、サポートされている AWS マネージドアプリケーションと OIDC ベースのカスタマーマネージドアプリケーションをデプロイできます。アカウントインスタンスは、IAM アイデンティティセンターのワークフォースアイデンティティとアクセスポータル機能を活用して AWS アカウント、アプリケーションの独立したデプロイを 1 つの でサポートします。
アカウントインスタンスは 1 つの にバインド AWS アカウント され、同じアカウントと でサポートされているアプリケーションのユーザーとグループのアクセスを管理するためにのみ使用されます AWS リージョン。ごとに 1 つのアカウントインスタンスに制限されています AWS アカウント。アカウントインスタンスは、 のメンバーアカウント AWS Organizations または によって管理 AWS アカウント されていないスタンドアロンのいずれかから作成できます AWS Organizations。
IAM アイデンティティセンターのアカウントインスタンスを有効にする手順については、「[IAM アイデンティティセンターのインスタンスを有効にするには](enable-identity-center.md#to-enable-identity-center-instance)」を参照して**[アカウント]** タブを選択します。
## アカウントインスタンスを使用するタイミング
ほとんどの場合には、[組織インスタンス](organization-instances-identity-center.md)をお勧めします。アカウントインスタンスは、以下のシナリオのいずれかに当てはまる場合にのみ使用します。
+ サポートされている AWS マネージドアプリケーションの一時的なトライアルを実行して、アプリケーションがビジネスニーズに適しているかどうかを判断します。
+ 組織全体に IAM アイデンティティセンターを導入する予定はありませんが、1 つ以上の AWS マネージドアプリケーションをサポートしたいと考えています。
+ IAM アイデンティティセンターの組織インスタンスはあるが、サポートされている AWS マネージドアプリケーションを、組織インスタンス内のユーザーとは異なる、分離されたユーザーグループにデプロイしたいと考えている。
+ 運用している AWS 組織を管理していない。たとえば、サードパーティーが を管理する AWS 組織を制御します AWS アカウント。
**重要**
IAM アイデンティティセンターを使用して複数のアカウントのアプリケーションをサポートする予定がある場合は、組織インスタンスを使用してください。アカウントインスタンスはこのユースケースをサポートしていません。
## AWS アカウントインスタンスをサポートする マネージドアプリケーション
IAM Identity Center のアカウントインスタンスをサポートする AWS マネージドアプリケーションについては[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)、「」を参照してください。 AWS マネージドアプリケーションでアカウントインスタンス作成の可用性を確認します。
## メンバーアカウントの可用性制約
IAM Identity Center のアカウントインスタンスを AWS Organizations メンバーアカウントにデプロイするには、次のいずれかの条件が満たされている必要があります。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがないこと。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがあるが、インスタンス管理者が IAM アイデンティティセンターのアカウントインスタンス作成を許可している (2023 年 11 月 15 日以降に作成された組織インスタンスの場合)。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがあるが、インスタンス管理者が組織内のメンバーアカウント によるアカウントインスタンス作成を手動で有効化している (2023 年 11 月 15 日以前に作成された組織インスタンスの場合)。手順については、「[メンバーアカウントでアカウントインスタンスの作成を許可する](enable-account-instance-console.md)」を参照してください。
上記の条件のいずれかを満たしていることを前提として、さらに以下の条件がすべて満たされている必要があります。
+ 管理者が、メンバーアカウントによるアカウントインスタンスの作成を禁止する[サービスコントロールポリシー](control-account-instance.md)を作成していないこと。
+ AWS リージョンにかかわらず、同じアカウントに IAM アイデンティティセンターのインスタンスがまだない。
+ IAM Identity Center AWS リージョン が利用可能な で作業しています。リージョンの詳細については、「[IAM アイデンティティセンターリージョンのデータストレージとオペレーション](regions.md)」を参照してください。
## アカウントインスタンスに関する考慮事項
アカウントインスタンスは特殊なユースケース向けに設計されており、組織インスタンスで使用できる機能のサブセットを提供します。アカウントインスタンスを作成する前に、以下を考慮してください。
+ アカウントインスタンスはアクセス許可セットをサポートしていないため、 AWS アカウントへのアクセスはサポートしていません。
+ アカウントインスタンスを組織インスタンスに変換またはマージすることはできません。
+ アカウントインスタンスは、一部の [AWS マネージドアプリケーション](awsapps-that-work-with-identity-center.md)のみでサポートされています。
+ アカウントインスタンスは、1 つのアカウントでのみアプリケーションを使用する孤立したユーザーで、使用するアプリケーションの存続期間中だけ使用してください。
+ アカウントインスタンスにアタッチされたアプリケーションは、アプリケーションとそのリソースを削除するまでアカウントインスタンスにアタッチされたままにしておく必要があります。
+ アカウントインスタンスは、作成された AWS アカウント にとどまる必要があります。
# メンバーアカウントでアカウントインスタンスの作成を許可する
2023 年 11 月 15 日より前に IAM アイデンティティセンターを有効にしている場合は、IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)が存在しており、メンバーアカウントがアカウントインスタンスを作成する機能はデフォルトで無効になっています。IAM アイデンティティセンターコンソールでアカウントインスタンス機能を有効にすると、メンバーアカウントでアカウントインスタンスを作成できるかどうかを選択できるようになります。
**組織内のメンバーアカウントによるアカウントインスタンスの作成を有効にするには**
**重要**
メンバーアカウントに対して IAM アイデンティティセンターのアカウントインスタンスを有効にする操作は、1 回しか実行できません。つまり、いったん実行すると元に戻すことができません。アカウントインスタンスを有効にしてからサービスコントロールポリシー (SCP) を作成すれば、アカウントインスタンスの作成を制限できます。手順については、「[Control account instance creation with Services Control Policies](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)」を参照してください。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[設定]** を選択し、**[管理]** タブを選択します。
1. **[IAM アイデンティティセンターのアカウントインスタンス]** セクションで、**[IAM アイデンティティセンターのアカウントインスタンスを有効にする]** を選択します。
1. **[IAM アイデンティティセンターのアカウントインスタンスを有効にする]** ダイアログボックスで、**[有効にする]** を選択して、組織内のメンバーアカウントにアカウントインスタンスの作成を許可することを確認します。
# サービスコントロールポリシーを使用してアカウントインスタンスの作成をコントロールする
メンバーアカウントがアカウントインスタンスを作成できるかどうかは、IAM アイデンティティセンターを有効にした時期によって異なります。
+ **2023 年 11 月より前** – [メンバーアカウントでアカウントインスタンスの作成を許可する](enable-account-instance-console.md)必要があります。これは元に戻すことができないアクションです。
+ **2023 年 11 月 15 **日以降 – メンバーアカウントは、デフォルトでアカウントインスタンスを作成できます。
いずれの場合も、サービスコントロールポリシー (SCP) を使用して以下を行うことができます。
+ すべてのメンバーアカウントがアカウントインスタンスを作成できないようにします。
+ 特定のメンバーアカウントのみがアカウントインスタンスを作成できるようにします。
## アカウントインスタンス作成の防止
以下の手順を使用して、メンバーアカウントが IAM アイデンティティセンターのアカウントインスタンスを作成できないようにする SCP を生成します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[ダッシュボード]** の **[中央管理]** セクションで、**[アカウントインスタンスの抑制]** ボタンを選択します。
1. **[SCP をアタッチして新しいアカウントインスタンスが作成されないようにする]** ダイアログボックスに SCP が表示されます。SCP をコピーし、**[SCP ダッシュボードに移動]** ボタンを選択します。[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)に移動し、SCP を作成するか、既存の SCP にステートメントとしてアタッチします。SCPsは の機能です AWS Organizations。SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。
## アカウントインスタンスの制限
すべてのアカウントインスタンスの作成を妨げる代わりに、このポリシーは、*「*」プレースホルダーに明示的にリストされているもの AWS アカウント を除くすべての に対して、IAM Identity Center のアカウントインスタンスを作成する試みを拒否します。
**Example : アカウントインスタンスの作成を制限するポリシーを拒否する**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ [*""*] を、IAM アイデンティティセンターのアカウントインスタンスの作成を許可する実際の AWS アカウント ID (複数可) に置き換えます。
+ 複数の許可されたアカウント ID を配列形式で一覧表示できます: [*"111122223333", "444455556666"]*。
+ このポリシーを組織 SCP にアタッチして、IAM アイデンティティセンターアカウントインスタンスの作成を一元管理します。
SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。
# IAM アイデンティティセンターインスタンスを削除する
IAM アイデンティティセンターインスタンスを削除すると、そのインスタンス内のすべてのデータが削除され、復元することはできません。以下の表は、IAM アイデンティティセンターで設定されているディレクトリタイプに基づいて、どのようなデータが削除されるかを示したものです。
| 削除されるデータについて | 接続されたディレクトリ - AWS Managed Microsoft AD、AD Connector、または外部 ID プロバイダー | IAM Identity Center Identity Store |
| --- | --- | --- |
| に設定したすべてのアクセス許可セット AWS アカウント | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| IAM Identity Center で設定したすべてのアプリケーション | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| AWS アカウント および アプリケーション用に設定したすべてのユーザー割り当て | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| ディレクトリまたはストア内のすべてのユーザーとグループ | 該当なし | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
IAM Identity Center インスタンスを追加のリージョンにレプリケートした場合は、インスタンスを削除する前にそれらのリージョンを削除する必要があります。
IAM アイデンティティセンターインスタンスを削除するには、次の手順に従います。
**IAM アイデンティティセンターインスタンスを削除するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左のナビゲーションペインの [**設定**] を選択します。
1. **[設定]** ページで、**[管理]** タブをクリックします。
1. **[IAM Identity Center 設定の削除]** セクションで、**[削除]** を選択します。
1. **[IAM アイデンティティセンター設定の削除]** ダイアログで、データが削除されることを理解したことを示す各チェックボックスを選択します。テキストボックスに IAM Identity Center インスタンスを入力し、**[確認]** を選択します。