翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM アイデンティティセンターのアカウントインスタンス
IAM Identity Center のアカウントインスタンスを使用すると、サポートされている AWS マネージドアプリケーションと OIDC ベースのカスタマーマネージドアプリケーションをデプロイできます。アカウントインスタンスは、IAM アイデンティティセンターのワークフォースアイデンティティとアクセスポータル機能を活用して AWS アカウント、アプリケーションの独立したデプロイを 1 つの でサポートします。
アカウントインスタンスは 1 つの にバインド AWS アカウント され、同じアカウントと でサポートされているアプリケーションのユーザーとグループのアクセスを管理するためにのみ使用されます AWS リージョン。ごとに 1 つのアカウントインスタンスに制限されています AWS アカウント。アカウントインスタンスは、 のメンバーアカウント AWS Organizations または によって管理 AWS アカウント されていないスタンドアロンのいずれかから作成できます AWS Organizations。
IAM アイデンティティセンターのアカウントインスタンスを有効にする手順については、「[IAM アイデンティティセンターのインスタンスを有効にするには](enable-identity-center.md#to-enable-identity-center-instance)」を参照して**[アカウント]** タブを選択します。
## アカウントインスタンスを使用するタイミング
ほとんどの場合には、[組織インスタンス](organization-instances-identity-center.md)をお勧めします。アカウントインスタンスは、以下のシナリオのいずれかに当てはまる場合にのみ使用します。
+ サポートされている AWS マネージドアプリケーションの一時的なトライアルを実行して、アプリケーションがビジネスニーズに適しているかどうかを判断します。
+ 組織全体に IAM アイデンティティセンターを導入する予定はありませんが、1 つ以上の AWS マネージドアプリケーションをサポートしたいと考えています。
+ IAM アイデンティティセンターの組織インスタンスはあるが、サポートされている AWS マネージドアプリケーションを、組織インスタンス内のユーザーとは異なる、分離されたユーザーグループにデプロイしたいと考えている。
+ 運用している AWS 組織を管理していない。たとえば、サードパーティーが を管理する AWS 組織を制御します AWS アカウント。
**重要**
IAM アイデンティティセンターを使用して複数のアカウントのアプリケーションをサポートする予定がある場合は、組織インスタンスを使用してください。アカウントインスタンスはこのユースケースをサポートしていません。
## AWS アカウントインスタンスをサポートする マネージドアプリケーション
IAM Identity Center のアカウントインスタンスをサポートする AWS マネージドアプリケーションについては[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)、「」を参照してください。 AWS マネージドアプリケーションでアカウントインスタンス作成の可用性を確認します。
## メンバーアカウントの可用性制約
IAM Identity Center のアカウントインスタンスを AWS Organizations メンバーアカウントにデプロイするには、次のいずれかの条件が満たされている必要があります。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがないこと。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがあるが、インスタンス管理者が IAM アイデンティティセンターのアカウントインスタンス作成を許可している (2023 年 11 月 15 日以降に作成された組織インスタンスの場合)。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがあるが、インスタンス管理者が組織内のメンバーアカウント によるアカウントインスタンス作成を手動で有効化している (2023 年 11 月 15 日以前に作成された組織インスタンスの場合)。手順については、「[メンバーアカウントでアカウントインスタンスの作成を許可する](enable-account-instance-console.md)」を参照してください。
上記の条件のいずれかを満たしていることを前提として、さらに以下の条件がすべて満たされている必要があります。
+ 管理者が、メンバーアカウントによるアカウントインスタンスの作成を禁止する[サービスコントロールポリシー](control-account-instance.md)を作成していないこと。
+ AWS リージョンにかかわらず、同じアカウントに IAM アイデンティティセンターのインスタンスがまだない。
+ IAM Identity Center AWS リージョン が利用可能な で作業しています。リージョンの詳細については、「[IAM アイデンティティセンターリージョンのデータストレージとオペレーション](regions.md)」を参照してください。
## アカウントインスタンスに関する考慮事項
アカウントインスタンスは特殊なユースケース向けに設計されており、組織インスタンスで使用できる機能のサブセットを提供します。アカウントインスタンスを作成する前に、以下を考慮してください。
+ アカウントインスタンスはアクセス許可セットをサポートしていないため、 AWS アカウントへのアクセスはサポートしていません。
+ アカウントインスタンスを組織インスタンスに変換またはマージすることはできません。
+ アカウントインスタンスは、一部の [AWS マネージドアプリケーション](awsapps-that-work-with-identity-center.md)のみでサポートされています。
+ アカウントインスタンスは、1 つのアカウントでのみアプリケーションを使用する孤立したユーザーで、使用するアプリケーションの存続期間中だけ使用してください。
+ アカウントインスタンスにアタッチされたアプリケーションは、アプリケーションとそのリソースを削除するまでアカウントインスタンスにアタッチされたままにしておく必要があります。
+ アカウントインスタンスは、作成された AWS アカウント にとどまる必要があります。
# メンバーアカウントでアカウントインスタンスの作成を許可する
2023 年 11 月 15 日より前に IAM アイデンティティセンターを有効にしている場合は、IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)が存在しており、メンバーアカウントがアカウントインスタンスを作成する機能はデフォルトで無効になっています。IAM アイデンティティセンターコンソールでアカウントインスタンス機能を有効にすると、メンバーアカウントでアカウントインスタンスを作成できるかどうかを選択できるようになります。
**組織内のメンバーアカウントによるアカウントインスタンスの作成を有効にするには**
**重要**
メンバーアカウントに対して IAM アイデンティティセンターのアカウントインスタンスを有効にする操作は、1 回しか実行できません。つまり、いったん実行すると元に戻すことができません。アカウントインスタンスを有効にしてからサービスコントロールポリシー (SCP) を作成すれば、アカウントインスタンスの作成を制限できます。手順については、「[Control account instance creation with Services Control Policies](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)」を参照してください。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[設定]** を選択し、**[管理]** タブを選択します。
1. **[IAM アイデンティティセンターのアカウントインスタンス]** セクションで、**[IAM アイデンティティセンターのアカウントインスタンスを有効にする]** を選択します。
1. **[IAM アイデンティティセンターのアカウントインスタンスを有効にする]** ダイアログボックスで、**[有効にする]** を選択して、組織内のメンバーアカウントにアカウントインスタンスの作成を許可することを確認します。
# サービスコントロールポリシーを使用してアカウントインスタンスの作成をコントロールする
メンバーアカウントがアカウントインスタンスを作成できるかどうかは、IAM アイデンティティセンターを有効にした時期によって異なります。
+ **2023 年 11 月より前** – [メンバーアカウントでアカウントインスタンスの作成を許可する](enable-account-instance-console.md)必要があります。これは元に戻すことができないアクションです。
+ **2023 年 11 月 15 **日以降 – メンバーアカウントは、デフォルトでアカウントインスタンスを作成できます。
いずれの場合も、サービスコントロールポリシー (SCP) を使用して以下を行うことができます。
+ すべてのメンバーアカウントがアカウントインスタンスを作成できないようにします。
+ 特定のメンバーアカウントのみがアカウントインスタンスを作成できるようにします。
## アカウントインスタンス作成の防止
以下の手順を使用して、メンバーアカウントが IAM アイデンティティセンターのアカウントインスタンスを作成できないようにする SCP を生成します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[ダッシュボード]** の **[中央管理]** セクションで、**[アカウントインスタンスの抑制]** ボタンを選択します。
1. **[SCP をアタッチして新しいアカウントインスタンスが作成されないようにする]** ダイアログボックスに SCP が表示されます。SCP をコピーし、**[SCP ダッシュボードに移動]** ボタンを選択します。[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)に移動し、SCP を作成するか、既存の SCP にステートメントとしてアタッチします。SCPsは の機能です AWS Organizations。SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。
## アカウントインスタンスの制限
すべてのアカウントインスタンスの作成を妨げる代わりに、このポリシーは、*「*」プレースホルダーに明示的にリストされているもの AWS アカウント を除くすべての に対して、IAM Identity Center のアカウントインスタンスを作成する試みを拒否します。
**Example : アカウントインスタンスの作成を制限するポリシーを拒否する**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ [*""*] を、IAM アイデンティティセンターのアカウントインスタンスの作成を許可する実際の AWS アカウント ID (複数可) に置き換えます。
+ 複数の許可されたアカウント ID を配列形式で一覧表示できます: [*"111122223333", "444455556666"]*。
+ このポリシーを組織 SCP にアタッチして、IAM アイデンティティセンターアカウントインスタンスの作成を一元管理します。
SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。