翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス
インスタンスは IAM アイデンティティセンターの単一デプロイです。IAM アイデンティティセンターで使用できるインスタンスには、*組織インスタンス*と*アカウントインスタンス*の 2 種類があります。
+ 組織インスタンス (推奨)
AWS Organizations 管理アカウントで有効にする IAM アイデンティティセンターのインスタンス。組織インスタンスは、IAM アイデンティティセンターのすべての機能をサポートしています。管理ポイントの数を最小限に抑えるには、アカウントインスタンスではなく組織インスタンスをデプロイすることをお勧めします。
+ アカウントインスタンス
単一の にバインドされ AWS アカウント、有効になっている AWS アカウント および AWS リージョン内でのみ表示される IAM Identity Center のインスタンス。よりシンプルな単一アカウントのシナリオでは、 アカウントインスタンスを使用します。以下のいずれかからアカウントインスタンスを有効にできます。
+ によって管理 AWS アカウント されていない AWS Organizations
+ のメンバーアカウント AWS Organizations
## AWS アカウント IAM Identity Center を有効にできる タイプ
IAM Identity Center を有効にするには、作成するインスタンスタイプに応じて、次のいずれかの認証情報 AWS マネジメントコンソール を使用して にサインインします。
+ ** AWS Organizations 管理アカウント (推奨) – **IAM Identity Center の[組織インスタンス](organization-instances-identity-center.md)を作成するために必要です。組織全体でのマルチアカウント権限とアプリケーションの割り当てには、組織インスタンスを使用してください。
+ ** AWS Organizations メンバーアカウント** – IAM Identity Center の[アカウントインスタンス](account-instances-identity-center.md)を作成して、そのメンバーアカウント内のアプリケーション割り当てを有効にします。メンバーレベルのインスタンスを持つ 1 つ以上のアカウントを組織内に持つことができます。
+ **スタンドアロン AWS アカウント** – IAM Identity Center の[組織インスタンス](organization-instances-identity-center.md)または[アカウントインスタンス](account-instances-identity-center.md)を作成するために使用します。スタンドアロン AWS アカウント は によって管理されません AWS Organizations。IAM Identity Center の 1 つのインスタンスのみをスタンドアロンに関連付ける AWS アカウント ことができ、そのインスタンスをスタンドアロン内のアプリケーション割り当てに使用できます AWS アカウント。
次の表を使用して、インスタンスタイプによって提供される機能を比較します。
| 機能 | AWS Organizations 管理アカウントのインスタンス (推奨) | メンバーアカウント内のインスタンス | スタンドアロンのインスタンス AWS アカウント |
| --- | --- | --- | --- |
| ユーザーの管理 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| AWS AWS マネージドアプリケーションへのシングルサインオンアクセス用の アクセスポータル | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| OAuth 2.0 (OIDC) カスタマーマネージドアプリケーション | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png)はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png)はい |
| マルチアカウント権限 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| AWS へのシングルサインオンアクセス用の アクセスポータル AWS アカウント | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| SAML 2.0 カスタマーマネージドアプリケーション | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| 委任管理者がインスタンスを管理できる | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| カスタマーマネージド KMS キーを使用した保管時の暗号化 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
| IAM Identity Center を追加のリージョンにレプリケートする | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ | ![\[No\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-no.png) いいえ |
AWS マネージドアプリケーションと IAM Identity Center の詳細については、「」を参照してください[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)。
**Topics**
+ [AWS アカウント IAM Identity Center を有効にできる タイプ](#identity-center-instances-account-types)
+ [IAM アイデンティティセンターの組織インスタンス](organization-instances-identity-center.md)
+ [IAM アイデンティティセンターのアカウントインスタンス](account-instances-identity-center.md)
+ [IAM アイデンティティセンターインスタンスを削除する](delete-config.md)
# IAM アイデンティティセンターの組織インスタンス
IAM アイデンティティセンターを と組み合わせて有効にすると AWS Organizations、IAM アイデンティティセンターの組織インスタンスが作成されます。ユーザーとグループのアクセスを 1 つの組織インスタンスで一元管理するには、組織インスタンスは管理アカウントで有効化されている必要があります。 AWS Organizationsでは、各管理アカウントにつき 1 つの組織インスタンスしか作成できません。
2023 年 11 月 15 日より前に IAM アイデンティティセンターを有効にした場合は、IAM アイデンティティセンターの組織インスタンスがあります。
IAM アイデンティティセンターの組織インスタンスを有効にするには、「[IAM アイデンティティセンターのインスタンスを有効にするには](enable-identity-center.md#to-enable-identity-center-instance)」を参照してください。
## 組織インスタンスを使用するタイミング
組織インスタンスは IAM アイデンティティセンターを有効にする主要な方法であり、通常は組織インスタンスが推奨されます。組織インスタンスには、次のような利点があります。
+ **IAM Identity Center のすべての機能のサポート** – 組織 AWS アカウント 内の複数の に対するアクセス許可の管理、カスタマーマネージドアプリケーションへのアクセスの割り当て、マルチリージョンレプリケーションが含まれます。
+ **管理ポイントの削減** — 組織インスタンスには単一の管理ポイント、つまり管理アカウントがあります。管理ポイントの数を減らすには、アカウントインスタンスではなく組織インスタンスを有効にすることをお勧めします。
+ **アカウントインスタンスの作成の一元管理** – オプトインリージョン (デフォルトでAWS リージョン 無効) の組織に IAM アイデンティティセンターのインスタンスをデプロイしていない限り、組織内のメンバーアカウントによってアカウントインスタンスを作成できるかどうかを制御できます。
IAM アイデンティティセンターの組織インスタンスを有効にする手順については、「[IAM アイデンティティセンターのインスタンスを有効にするには](enable-identity-center.md#to-enable-identity-center-instance)」を参照してください。
# IAM アイデンティティセンターのアカウントインスタンス
IAM Identity Center のアカウントインスタンスを使用すると、サポートされている AWS マネージドアプリケーションと OIDC ベースのカスタマーマネージドアプリケーションをデプロイできます。アカウントインスタンスは、IAM アイデンティティセンターのワークフォースアイデンティティとアクセスポータル機能を活用して AWS アカウント、アプリケーションの独立したデプロイを 1 つの でサポートします。
アカウントインスタンスは 1 つの にバインド AWS アカウント され、同じアカウントと でサポートされているアプリケーションのユーザーとグループのアクセスを管理するためにのみ使用されます AWS リージョン。ごとに 1 つのアカウントインスタンスに制限されています AWS アカウント。アカウントインスタンスは、 のメンバーアカウント AWS Organizations または によって管理 AWS アカウント されていないスタンドアロンのいずれかから作成できます AWS Organizations。
IAM アイデンティティセンターのアカウントインスタンスを有効にする手順については、「[IAM アイデンティティセンターのインスタンスを有効にするには](enable-identity-center.md#to-enable-identity-center-instance)」を参照して**[アカウント]** タブを選択します。
## アカウントインスタンスを使用するタイミング
ほとんどの場合には、[組織インスタンス](organization-instances-identity-center.md)をお勧めします。アカウントインスタンスは、以下のシナリオのいずれかに当てはまる場合にのみ使用します。
+ サポートされている AWS マネージドアプリケーションの一時的なトライアルを実行して、アプリケーションがビジネスニーズに適しているかどうかを判断します。
+ 組織全体に IAM アイデンティティセンターを導入する予定はありませんが、1 つ以上の AWS マネージドアプリケーションをサポートしたいと考えています。
+ IAM アイデンティティセンターの組織インスタンスはあるが、サポートされている AWS マネージドアプリケーションを、組織インスタンス内のユーザーとは異なる、分離されたユーザーグループにデプロイしたいと考えている。
+ 運用している AWS 組織を管理していない。たとえば、サードパーティーが を管理する AWS 組織を制御します AWS アカウント。
**重要**
IAM アイデンティティセンターを使用して複数のアカウントのアプリケーションをサポートする予定がある場合は、組織インスタンスを使用してください。アカウントインスタンスはこのユースケースをサポートしていません。
## AWS アカウントインスタンスをサポートする マネージドアプリケーション
IAM Identity Center のアカウントインスタンスをサポートする AWS マネージドアプリケーションについては[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)、「」を参照してください。 AWS マネージドアプリケーションでアカウントインスタンス作成の可用性を確認します。
## メンバーアカウントの可用性制約
IAM Identity Center のアカウントインスタンスを AWS Organizations メンバーアカウントにデプロイするには、次のいずれかの条件が満たされている必要があります。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがないこと。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがあるが、インスタンス管理者が IAM アイデンティティセンターのアカウントインスタンス作成を許可している (2023 年 11 月 15 日以降に作成された組織インスタンスの場合)。
+ 組織内に IAM アイデンティティセンターの組織インスタンスがあるが、インスタンス管理者が組織内のメンバーアカウント によるアカウントインスタンス作成を手動で有効化している (2023 年 11 月 15 日以前に作成された組織インスタンスの場合)。手順については、「[メンバーアカウントでアカウントインスタンスの作成を許可する](enable-account-instance-console.md)」を参照してください。
上記の条件のいずれかを満たしていることを前提として、さらに以下の条件がすべて満たされている必要があります。
+ 管理者が、メンバーアカウントによるアカウントインスタンスの作成を禁止する[サービスコントロールポリシー](control-account-instance.md)を作成していないこと。
+ AWS リージョンにかかわらず、同じアカウントに IAM アイデンティティセンターのインスタンスがまだない。
+ IAM Identity Center AWS リージョン が利用可能な で作業しています。リージョンの詳細については、「[IAM アイデンティティセンターリージョンのデータストレージとオペレーション](regions.md)」を参照してください。
## アカウントインスタンスに関する考慮事項
アカウントインスタンスは特殊なユースケース向けに設計されており、組織インスタンスで使用できる機能のサブセットを提供します。アカウントインスタンスを作成する前に、以下を考慮してください。
+ アカウントインスタンスはアクセス許可セットをサポートしていないため、 AWS アカウントへのアクセスはサポートしていません。
+ アカウントインスタンスを組織インスタンスに変換またはマージすることはできません。
+ アカウントインスタンスは、一部の [AWS マネージドアプリケーション](awsapps-that-work-with-identity-center.md)のみでサポートされています。
+ アカウントインスタンスは、1 つのアカウントでのみアプリケーションを使用する孤立したユーザーで、使用するアプリケーションの存続期間中だけ使用してください。
+ アカウントインスタンスにアタッチされたアプリケーションは、アプリケーションとそのリソースを削除するまでアカウントインスタンスにアタッチされたままにしておく必要があります。
+ アカウントインスタンスは、作成された AWS アカウント にとどまる必要があります。
# メンバーアカウントでアカウントインスタンスの作成を許可する
2023 年 11 月 15 日より前に IAM アイデンティティセンターを有効にしている場合は、IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)が存在しており、メンバーアカウントがアカウントインスタンスを作成する機能はデフォルトで無効になっています。IAM アイデンティティセンターコンソールでアカウントインスタンス機能を有効にすると、メンバーアカウントでアカウントインスタンスを作成できるかどうかを選択できるようになります。
**組織内のメンバーアカウントによるアカウントインスタンスの作成を有効にするには**
**重要**
メンバーアカウントに対して IAM アイデンティティセンターのアカウントインスタンスを有効にする操作は、1 回しか実行できません。つまり、いったん実行すると元に戻すことができません。アカウントインスタンスを有効にしてからサービスコントロールポリシー (SCP) を作成すれば、アカウントインスタンスの作成を制限できます。手順については、「[Control account instance creation with Services Control Policies](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)」を参照してください。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[設定]** を選択し、**[管理]** タブを選択します。
1. **[IAM アイデンティティセンターのアカウントインスタンス]** セクションで、**[IAM アイデンティティセンターのアカウントインスタンスを有効にする]** を選択します。
1. **[IAM アイデンティティセンターのアカウントインスタンスを有効にする]** ダイアログボックスで、**[有効にする]** を選択して、組織内のメンバーアカウントにアカウントインスタンスの作成を許可することを確認します。
# サービスコントロールポリシーを使用してアカウントインスタンスの作成をコントロールする
メンバーアカウントがアカウントインスタンスを作成できるかどうかは、IAM アイデンティティセンターを有効にした時期によって異なります。
+ **2023 年 11 月より前** – [メンバーアカウントでアカウントインスタンスの作成を許可する](enable-account-instance-console.md)必要があります。これは元に戻すことができないアクションです。
+ **2023 年 11 月 15 **日以降 – メンバーアカウントは、デフォルトでアカウントインスタンスを作成できます。
いずれの場合も、サービスコントロールポリシー (SCP) を使用して以下を行うことができます。
+ すべてのメンバーアカウントがアカウントインスタンスを作成できないようにします。
+ 特定のメンバーアカウントのみがアカウントインスタンスを作成できるようにします。
## アカウントインスタンス作成の防止
以下の手順を使用して、メンバーアカウントが IAM アイデンティティセンターのアカウントインスタンスを作成できないようにする SCP を生成します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[ダッシュボード]** の **[中央管理]** セクションで、**[アカウントインスタンスの抑制]** ボタンを選択します。
1. **[SCP をアタッチして新しいアカウントインスタンスが作成されないようにする]** ダイアログボックスに SCP が表示されます。SCP をコピーし、**[SCP ダッシュボードに移動]** ボタンを選択します。[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)に移動し、SCP を作成するか、既存の SCP にステートメントとしてアタッチします。SCPsは の機能です AWS Organizations。SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。
## アカウントインスタンスの制限
すべてのアカウントインスタンスの作成を妨げる代わりに、このポリシーは、*「*」プレースホルダーに明示的にリストされているもの AWS アカウント を除くすべての に対して、IAM Identity Center のアカウントインスタンスを作成する試みを拒否します。
**Example : アカウントインスタンスの作成を制限するポリシーを拒否する**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ [*""*] を、IAM アイデンティティセンターのアカウントインスタンスの作成を許可する実際の AWS アカウント ID (複数可) に置き換えます。
+ 複数の許可されたアカウント ID を配列形式で一覧表示できます: [*"111122223333", "444455556666"]*。
+ このポリシーを組織 SCP にアタッチして、IAM アイデンティティセンターアカウントインスタンスの作成を一元管理します。
SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。
# IAM アイデンティティセンターインスタンスを削除する
IAM アイデンティティセンターインスタンスを削除すると、そのインスタンス内のすべてのデータが削除され、復元することはできません。以下の表は、IAM アイデンティティセンターで設定されているディレクトリタイプに基づいて、どのようなデータが削除されるかを示したものです。
| 削除されるデータについて | 接続されたディレクトリ - AWS Managed Microsoft AD、AD Connector、または外部 ID プロバイダー | IAM Identity Center Identity Store |
| --- | --- | --- |
| に設定したすべてのアクセス許可セット AWS アカウント | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| IAM Identity Center で設定したすべてのアプリケーション | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| AWS アカウント および アプリケーション用に設定したすべてのユーザー割り当て | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
| ディレクトリまたはストア内のすべてのユーザーとグループ | 該当なし | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/icon-yes.png) はい |
IAM Identity Center インスタンスを追加のリージョンにレプリケートした場合は、インスタンスを削除する前にそれらのリージョンを削除する必要があります。
IAM アイデンティティセンターインスタンスを削除するには、次の手順に従います。
**IAM アイデンティティセンターインスタンスを削除するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左のナビゲーションペインの [**設定**] を選択します。
1. **[設定]** ページで、**[管理]** タブをクリックします。
1. **[IAM Identity Center 設定の削除]** セクションで、**[削除]** を選択します。
1. **[IAM アイデンティティセンター設定の削除]** ダイアログで、データが削除されることを理解したことを示す各チェックボックスを選択します。テキストボックスに IAM Identity Center インスタンスを入力し、**[確認]** を選択します。