自動プロビジョニングされたリソースの監査と調整 - AWS IAM Identity Center
リソースを監査する理由リソースを監査する方法考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

自動プロビジョニングされたリソースの監査と調整

SCIM を使用すると、ユーザー、グループ、グループメンバーシップを ID ソースから IAM アイデンティティセンターに自動的にプロビジョニングできます。このガイドは、これらのリソースを検証して調整し、正確な同期を維持するのに役立ちます。

リソースを監査する理由

定期的な監査は、アクセスコントロールが正確であり、ID プロバイダー (IdP) が IAM アイデンティティセンターと適切に同期された状態を維持するのに役立ちます。これは、セキュリティコンプライアンスとアクセス管理にとって特に重要です。

監査できるリソース:

  • [ユーザー]

  • グループ

  • グループメンバーシップ

AWS Identity Store APIs または CLI コマンドを使用して、監査と調整を実行できます。次の例では、 AWS CLI コマンドを使用します。API の代替手段については、「ID ストア API リファレンス」の「対応するオペレーション」を参照してください。

リソースを監査する方法

AWS CLI コマンドを使用してこれらのリソースを監査する方法の例を次に示します。

開始する前に、以下を確認してください。

ステップ 1: 現在のリソースを一覧表示する

を使用して現在のリソースを表示できます AWS CLI。

注記

を使用する場合 AWS CLI、 を指定しない限り、ページ分割は自動的に処理されます--no-paginate。API を直接呼び出す場合 (SDK やカスタムスクリプトなど)、レスポンスで NextToken を処理します。これにより、複数のページにわたるすべての結果を取得できます。

例 ユーザー向け
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
例 グループ向け
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
例 グループメンバーシップ向け
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID

ステップ 2: ID ソースと比較する

リストされているリソースを ID ソースと比較して、次のような不一致を特定します。

  • IAM アイデンティティセンターでプロビジョニングする必要があるリソースがありません。

  • IAM アイデンティティセンターから削除する必要がある追加のリソース。

例 ユーザー向け
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
例 グループ向け
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
例 グループメンバーシップ向け
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID

考慮事項

  • コマンドには、service quotas と API スロットリングが適用されます。

  • 調整中に多くの違いが見つかった場合は、 AWS Identity Store に小さな段階的な変更を加えます。これにより、複数のユーザーに影響を与える間違いを回避できます。

  • SCIM 同期は、手動の変更を上書きできます。この動作を理解するには、IdP 設定を確認してください。