翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
前提条件と考慮事項
信頼できる ID の伝播を設定する前に、以下の前提条件と考慮事項を確認してください。
前提条件
信頼できる ID の伝播を使用するには、環境が以下の前提条件を満たしていることを確認してください。
-
IAM アイデンティティセンターを有効にしてプロビジョニングする
-
信頼できる ID 伝達を使用するには、ユーザーがアクセスする AWS アプリケーションとサービスが有効になってい AWS リージョン るのと同じ で IAM Identity Center を有効にする必要があります。詳細については、「IAM Identity Center を有効にする」を参照してください。
-
IAM アイデンティティセンター組織インスタンス推奨 — AWS Organizationsの管理アカウントで有効にする IAM アイデンティティセンターの組織インスタンスを使用することをお勧めします。IAM アイデンティティセンターの組織インスタンスの管理をメンバーアカウントに委任できます。IAM アイデンティティセンターのアカウントインスタンスを選択する場合、信頼できる ID の伝播を使用してユーザーにアクセスさせるものはすべての AWS のサービス は、IAM アイデンティティセンターを有効にするのと同じ AWS アカウント に存在する必要があります。詳細については、「IAM アイデンティティセンターのアカウントインスタンス」を参照してください。
-
-
既存の ID プロバイダーを IAM アイデンティティセンターに接続し、ユーザーとグループを IAM アイデンティティセンターにプロビジョニングします。詳細については、「IAM アイデンティティセンターの ID ソースに関するチュートリアル」を参照してください。
-
-
信頼できる ID 伝達ユースケースの AWS マネージドアプリケーションとサービスを IAM アイデンティティセンターに接続します。信頼できる ID 伝達を使用するには、 AWS マネージドアプリケーションを IAM アイデンティティセンターに接続する必要があります。
考慮事項
信頼できる ID の伝播を設定し使用するときは、次の考慮事項に留意してください。
-
IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス
-
IAM アイデンティティセンターの組織インスタンスは、ユースケースを複数の AWS アカウント、ユーザー、および AWS のサービスに拡張するための最も制御性と柔軟性を提供します。組織インスタンスを使用できない場合は、IAM アイデンティティセンター のアカウントインスタンスでユースケースがサポートされている可能性があります。 AWS のサービス IAM アイデンティティセンターのアカウントインスタンスをサポートするユースケースの詳細については、「AWS IAM Identity Center で使用できる マネージドアプリケーション」を参照してください。
-
-
マルチアカウント許可 (アクセス許可セット) は不要です
-
信頼できる ID の伝播では、マルチアカウント許可 (アクセス許可セット) を設定する必要はありません。IAM アイデンティティセンターを有効にして、信頼できる ID の伝播にのみ使用できます。
-
カスタマーマネージドアプリケーションの考慮事項
例えば、 Tableauやカスタム開発アプリケーションによって管理されていないクライアント向けアプリケーションとユーザーがやり取りした場合でも AWS、ワークフォースは信頼できる ID の伝播の恩恵を受けることができます。これらのアプリケーションのユーザーは、IAM アイデンティティセンター でプロビジョニングされない場合があります。 AWS リソースへのユーザーアクセスの認識と認可をスムーズにするために、IAM アイデンティティセンターでは、ユーザーを認証する ID プロバイダーと IAM アイデンティティセンター間の信頼関係を設定できます。詳細については、「信頼できるトークン発行者によるアプリケーションの使用」を参照してください。
さらに、アプリケーションの信頼できる ID の伝播を設定するには、以下が必要です。
-
アプリケーションは認証に OAuth 2.0 フレームワークを使用する必要があります。信頼できる ID の伝播は SAML 2.0 統合をサポートしていません。
-
アプリケーションは IAM アイデンティティセンターによって認識される必要があります。ユースケースに固有のガイダンスに従ってください。
