翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM アイデンティティセンターに関する前提条件と考慮事項
<a name="identity-center-prerequisites"></a>

IAM アイデンティティセンターは、 AWS マネージドアプリケーションのみ、 AWS アカウント のみ、またはその両方へのアクセスに使用できます。へのアクセスを管理するために IAM フェデレーションを使用している場合は AWS アカウント、アプリケーションアクセスに IAM アイデンティティセンターを使用している間も引き続きアクセスできます。

IAM アイデンティティセンターを有効にする前に次の点を考慮します。
+ AWS リージョン

  まず、IAM Identity Center のインスタンスごとに、[サポートされている](regions.md)単一のリージョンで IAM Identity Center を有効にします。 AWS アカウントへのシングルサインオンアクセスに IAM アイデンティティセンターを使用する場合は、組織内のすべてのユーザーがリージョンにアクセスできる必要があります。アプリケーションアクセスに IAM アイデンティティセンターを使用する場合は、Amazon SageMaker AI などの一部の AWS マネージドアプリケーションは、サポートするリージョンでのみ動作できることに注意してください。また、ほとんどの AWS マネージドアプリケーションでは、IAM Identity Center をアプリケーションと同じリージョンで使用できるようにする必要があります。これは、同じ リージョンにそれらを共同配置するか、サポートされている場合は、IAM Identity Center インスタンスを AWS マネージドアプリケーションの必要なデプロイリージョンにレプリケートすることで実現できます。詳細については、「[の選択に関する考慮事項 AWS リージョン](identity-center-region-considerations.md)」を参照してください。
+ アプリケーションアクセスのみ

  IAM Identity Center は、既存の ID プロバイダーを使用して Kiro などのアプリケーションへのユーザーアクセスにのみ使用できます。詳細については、「[アプリケーションへのユーザーアクセスのみに IAM アイデンティティセンターを使用する](identity-center-for-apps-only.md)」を参照してください。
**注記**  
アプリケーションリソースへのアクセスは、アプリケーション所有者によって個別に管理されます。
+ IAM ロールのクォータ

  IAM アイデンティティセンターは、IAM ロールを作成して、ユーザーにアカウントリソースへのアクセス許可を付与します。詳細については、「[IAM アイデンティティセンターによって作成される IAM ロール](identity-center-and-iam-roles.md)」を参照してください。
+ IAM アイデンティティセンターと AWS Organizations

  AWS Organizations IAM Identity Center で使用するには、 が推奨されますが、必須ではありません。組織をまだ設定していない場合は、設定する必要はありません。をセットアップ AWS Organizations 済みで、組織に IAM Identity Center を追加する場合は、すべての AWS Organizations 機能が有効になっていることを確認してください。詳細については、「[IAM アイデンティティセンターと AWS Organizations](identity-center-and-orgs.md)」を参照してください。

アクセスポータルや IAM Identity Center コンソールを含む IAM Identity Center ウェブインターフェイスは、サポートされているウェブブラウザを介して人間がアクセスすることを目的としています。互換性のあるブラウザには、Microsoft Edge、Mozilla Firefox、Google Chrome、Apple Safari の 3 つの最新バージョンが含まれています。ブラウザベース以外のパスを使用したこれらのエンドポイントへのアクセスはサポートされていません。IAM Identity Center サービスへのプログラムによるアクセスには、IAM Identity Center および Identity Store APIs リファレンスガイドに記載されている API を使用することをお勧めします。

# の選択に関する考慮事項 AWS リージョン
<a name="identity-center-region-considerations"></a>

IAM Identity Center は、選択した 1 つの で有効に AWS リージョン でき、世界中のユーザーが利用できます。このグローバルな可用性により、複数の AWS アカウント およびアプリケーションへのユーザーアクセスを簡単に設定できます。以下は、 AWS リージョンを選択する際の主な考慮事項です。
+ **ユーザーの地理的位置** – エンドユーザーの大部分に最も地理的に近いリージョンを選択すると、Amazon SageMaker AI などの AWS アクセスポータルや AWS マネージドアプリケーションへのアクセスのレイテンシーが低くなります。
+ **オプトインリージョン (デフォルトで無効になっているリージョン)** – オプトインリージョンは、デフォルトで無効 AWS リージョン になっている です。オプトインリージョンで使用するには、それを有効にする必要があります。詳細については、「[オプトインリージョンでの IAM アイデンティティセンターの管理](regions.md#manually-enabled-regions)」を参照してください。
+ **IAM アイデンティティセンターを追加リージョンにレプリケート**する – IAM アイデンティティセンターを追加リージョンにレプリケートする場合は AWS リージョン、デフォルトで有効になっているリージョンを選択する必要があります。詳細については、「[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)」を参照してください。
+ ** AWS マネージドアプリケーションのデプロイリージョンの選択 – **マネージドアプリケーションは、利用可能な AWS リージョン でのみ動作できます。 AWS 多くの AWS マネージドアプリケーションは、IAM アイデンティティセンターが有効化またはレプリケートされているリージョン (プライマリまたは追加のリージョン) でのみ動作できます。IAM Identity Center インスタンスが追加のリージョンへのレプリケーションをサポートしているかどうかを確認するには、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。レプリケーションがオプションでない場合は、 AWS マネージドアプリケーションを使用する予定のリージョンで IAM Identity Center を有効にすることを検討してください。
+ **デジタル主権** – デジタル主権の法規制または組織ポリシーによっては、特定の AWS リージョンの使用が義務付けられる場合があります。組織の法務部に相談してください。
+ **ID ソース** – [AWS Managed Microsoft AD](connectawsad.md)または [Active Directory (AD)](connectonpremad.md) のセルフマネージドディレクトリを ID ソースとして使用している場合、そのホームリージョンは IAM アイデンティティセンターを有効に AWS リージョン した と一致する必要があります。
+ **Amazon Simple Email Service を使用したクロスリージョン E メール** – 一部のリージョンでは、IAM アイデンティティセンターが別のリージョンの [Amazon Simple Email Service (Amazon SES) ](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)を呼び出して E メールを送信する場合があります。これらのクロスリージョン呼び出しでは、IAM アイデンティティセンターは特定のユーザー属性を他のリージョンに送信します。詳細については、「[Amazon SES を使用したクロスリージョン E メール](regions.md#cross-region-calls)」を参照してください。
+ **AWS Control Tower** – IAM Identity Center の組織インスタンスを から有効にする場合 AWS Control Tower、インスタンスは AWS Control Tower ランディングゾーンと同じリージョンに作成されます。

**Topics**
+ [IAM アイデンティティセンターリージョンのデータストレージとオペレーション](regions.md)
+ [切り替え AWS リージョン](switching-regions.md)
+ [IAM Identity Center AWS リージョン が有効になっている の無効化](disabling-region-with-identity-center.md)

# IAM アイデンティティセンターリージョンのデータストレージとオペレーション
<a name="regions"></a>

IAM アイデンティティセンターが AWS リージョン全体でデータストレージとオペレーションを処理する方法について説明します。

## IAM アイデンティティセンターがデータを保存する方法を理解する
<a name="region-data"></a>

IAM Identity Center を有効にすると、IAM Identity Center で設定したすべてのデータが、有効にしたリージョンに保存されます。このデータには、ディレクトリ設定、アクセス許可セット、アプリケーションインスタンス、 AWS アカウント アプリケーションへのユーザー割り当てが含まれます。IAM Identity Center の ID ストアを使用している場合、IAM Identity Center で作成したすべてのユーザーとグループも同じリージョンに保存されます。IAM Identity Center インスタンスを追加のリージョンにレプリケートする場合、IAM Identity Center はユーザー、グループ、アクセス許可セットとその割り当て、およびその他のメタデータと設定をそれらのリージョンに自動的にレプリケートします。

## Amazon SES を使用したクロスリージョン E メール
<a name="cross-region-calls"></a>

 IAM アイデンティティセンターは、エンドユーザーがワンタイムパスワード (OTP) を第 2 認証要素として使用してサインインしようとすると、[Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) を使用して E メールを送信します。これらの E メールは、ユーザーが初期パスワードの設定、E メールアドレスの検証、パスワードのリセットを依頼されたときなど、特定の ID および認証情報の管理イベントでも送信されます。Amazon SES は、IAM Identity Center がサポート AWS リージョン する のサブセットで使用できます。

 IAM Identity Center は、Amazon SES が AWS リージョンでローカルで利用可能な場合に Amazon SES ローカルエンドポイントを呼び出します。Amazon SES がローカルで利用できない場合、IAM Identity Center は次の表に示すように、別の AWS リージョンで Amazon SES エンドポイントを呼び出します。


| IAM Identity Center リージョンコード | IAM Identity Center リージョン名 | Amazon SES リージョンコード | Amazon SES リージョン名 | 
| --- | --- | --- | --- | 
| ap-east-1 | アジアパシフィック (香港) | ap-northeast-2 | アジアパシフィック (ソウル) | 
| ap-east-2 | アジアパシフィック (台北) | ap-northeast-1 | アジアパシフィック (東京) | 
| ap-south-2 | アジアパシフィック (ハイデラバード) | ap-south-1 | アジアパシフィック (ムンバイ) | 
| ap-southeast-4 | アジアパシフィック (メルボルン) | ap-southeast-2 | アジアパシフィック (シドニー) | 
| ap-southeast-5 | アジアパシフィック (マレーシア) | ap-southeast-1 | アジアパシフィック (シンガポール) | 
| ap-southeast-6 | アジアパシフィック (ニュージーランド) | ap-southeast-2 | アジアパシフィック (シドニー) | 
| ap-southeast-7 | アジアパシフィック (タイ) | ap-northeast-3 | アジアパシフィック (大阪) | 
| ca-west-1 | カナダ西部 (カルガリー) | ca-central-1 | カナダ (中部) | 
| eu-south-2 | 欧州 (スペイン) | eu-west-3 | 欧州 (パリ) | 
| eu-central-2 | 欧州 (チューリッヒ) | eu-central-1 | 欧州 (フランクフルト) | 
| mx-central-1 | メキシコ (中部) | us-east-2 | 米国東部 (オハイオ) | 
| me-central-1 | 中東 (アラブ首長国連邦) | eu-central-1 | 欧州 (フランクフルト) | 
| us-gov-east-1 | AWS GovCloud (米国東部) | us-gov-west-1 | AWS GovCloud (米国西部) | 

 これらのクロスリージョン呼び出しでは、IAM Identity Center は次のユーザー属性を送信する場合があります。
+ E メールアドレス
+ 名
+ 姓
+ のアカウント AWS Organizations
+ AWS アクセスポータル URL
+ ユーザー名
+ ディレクトリ ID
+ ユーザー ID

## オプトインリージョン (デフォルトで無効になっているリージョン) での IAM アイデンティティセンターの管理
<a name="manually-enabled-regions"></a>

ほとんどの AWS リージョン はデフォルトですべての AWS サービスでオペレーションに対して有効になっていますが、IAM Identity Center を使用する場合は、次の[オプトインリージョン](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion)を有効にする必要があります。
+ アフリカ (ケープタウン)
+ アジアパシフィック (香港)
+ アジアパシフィック (台北)
+ アジアパシフィック (ハイデラバード)
+ アジアパシフィック (ジャカルタ)
+ アジアパシフィック (メルボルン)
+ アジアパシフィック (マレーシア)
+ アジアパシフィック (ニュージーランド)
+ アジアパシフィック (タイ)
+ カナダ西部 (カルガリー)
+ 欧州 (ミラノ)
+ 欧州 (スペイン)
+ 欧州 (チューリッヒ)
+ イスラエル (テルアビブ)
+ メキシコ (中部)
+ 中東 (バーレーン)
+ 中東 (アラブ首長国連邦)

 オプトインリージョンに IAM アイデンティティセンターをデプロイする場合は、IAM アイデンティティセンターへのアクセスを管理するすべてのアカウントでこのリージョンを有効にする必要があります。すべてのアカウントで、そのリージョンにリソースを作成するかどうかにかかわらず、この設定が必要です。組織内の現在のアカウントで特定のリージョンを有効にできます。新しいアカウントを追加する場合は、このアクションを繰り返す必要があります。手順については、「*AWS Organizations ユーザーガイド*」の「[組織内のリージョンを有効または無効にする](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)」を参照してください。これらの追加ステップの繰り返しを回避するため、[デフォルトで有効になっているリージョン](#regions-enabled-by-default)に対して IAM アイデンティティセンターをデプロイするよう選択できます。

**注記**  
 AWS メンバーアカウントは、 AWS アクセスポータルから AWS メンバーアカウントにアクセスできるように、IAM Identity Center インスタンスがあるオプトインリージョンと同じリージョンにオプトインする必要があります。

**オプトインリージョンに保存されているメタデータ**  
オプトインで管理アカウントの IAM アイデンティティセンターを有効にすると AWS リージョン、メンバーアカウントの次の IAM アイデンティティセンターメタデータがリージョンに保存されます。
+ アカウント ID
+ アカウント名
+ 連絡先 E メール
+ IAM Identity Center がメンバーアカウントに作成する IAM ロールの Amazon リソースネーム (ARN)

## AWS リージョン デフォルトで有効になっている
<a name="regions-enabled-by-default"></a>

以下のリージョンはデフォルトで有効になっており、これらのリージョンで IAM アイデンティティセンターを有効にできます。
+ 米国東部(オハイオ)
+ 米国東部 (バージニア北部)
+ 米国西部 (オレゴン)
+ 米国西部 (北カリフォルニア)
+ 欧州 (パリ)
+ 南米 (サンパウロ)
+ アジアパシフィック (ムンバイ)
+ 欧州 (ストックホルム)
+ アジアパシフィック (ソウル)
+ アジアパシフィック (東京)
+ 欧州 (アイルランド)
+ 欧州 (フランクフルト)
+ 欧州 (ロンドン)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ カナダ (中部)
+ アジアパシフィック (大阪)

# 切り替え AWS リージョン
<a name="switching-regions"></a>

IAM Identity Center は、無効にする必要のあるリージョンではなく、ユーザーが利用できるようにしておきたいリージョンにインストールすることをお勧めします。詳細については、「[の選択に関する考慮事項 AWS リージョン](identity-center-region-considerations.md)」を参照してください。

IAM アイデンティティセンターリージョンの切り替えは、[現在の IAM アイデンティティセンターインスタンスを削除し](delete-config.md)、別のリージョンに新しいインスタンスを作成することによってのみ可能です。既存のインスタンスで AWS マネージドアプリケーションを既に有効にしている場合は、IAM アイデンティティセンターを削除する前に、そのアプリケーションを削除する必要があります。 AWS マネージドアプリケーションを無効にする手順については、「」を参照してください[AWS マネージドアプリケーションの無効化](awsapps-remove.md)。

**注記**  
IAM アイデンティティセンターリージョンを切り替えて別のリージョンに AWS マネージドアプリケーションのデプロイを有効にする場合は、代わりに IAM アイデンティティセンターインスタンスをそのリージョンにレプリケートすることを検討してください。詳細については、「[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)」を参照してください。

**新しいリージョンの設定に関する考慮事項**  
 ユーザー、グループ、アクセス許可セット、アプリケーション、割り当てを新しい IAM アイデンティティセンターインスタンスで再作成する必要があります。IAM アイデンティティセンターアカウントとアプリケーション割り当て [API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) を使用して現在の設定のスナップショットを取得し、そのスナップショットを使用して新しいリージョンで設定を再構築できます。別のリージョンに切り替えると、 [AWS アクセスポータル](using-the-portal.md)の URL も変更されます。これにより、ユーザーは AWS アカウント および アプリケーションへのシングルサインオンアクセスが可能になります。あるいは、新しいインスタンスの管理コンソールを使用して、一部の IAM アイデンティティセンター設定を再作成する必要がある場合もあります。

# IAM Identity Center AWS リージョン が有効になっている の無効化
<a name="disabling-region-with-identity-center"></a>

IAM Identity Center AWS リージョン がインストールされている を無効にすると、IAM Identity Center も無効になります。IAM アイデンティティセンターをリージョンで無効にすると、そのリージョンのユーザーは AWS アカウント とアプリケーションにシングルサインオンアクセスできなくなります。

オ[プトイン AWS リージョン](regions.md#manually-enabled-regions)で IAM アイデンティティセンターを再度有効にするには、リージョンを再度有効にする必要があります。IAM アイデンティティセンターでは一時停止中のイベントをすべて再処理する必要があるため、IAM アイデンティティセンターを再度有効にするとしばらく時間がかかる場合があります。

**注記**  
IAM Identity Center は、 での使用が有効になってい AWS アカウント る へのアクセスのみを管理できます AWS リージョン。組織内のすべてのアカウントへのアクセスを管理するには、IAM Identity Center で使用するために自動的にアクティブ化 AWS リージョン される の管理アカウントで IAM Identity Center を有効にします。

の有効化と無効化の詳細については AWS リージョン、 *AWS 全般のリファレンス*の[「 の管理 AWS リージョン](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)」を参照してください。

# アプリケーションへのユーザーアクセスのみに IAM アイデンティティセンターを使用する
<a name="identity-center-for-apps-only"></a>

 Kiro などのアプリケーション、またはその両方へのユーザーアクセスに AWS アカウント IAM Identity Center を使用できます。既存の ID プロバイダーを接続し、ディレクトリからユーザーとグループを同期することも、[IAM アイデンティティセンターで直接ユーザーを作成・管理することもできます](quick-start-default-idc.md)。既存の ID プロバイダーを IAM アイデンティティセンターに接続する方法については、「[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)」を参照してください。

**へのアクセスに IAM を既に使用していますか AWS アカウント?**

 AWS マネージドアプリケーションへのアクセスに IAM Identity Center を使用するには、現在の AWS アカウント ワークフローを変更する必要はありません。アクセスに [IAM とのフェデレーション](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)を使用している場合、ユーザーは常に持っているのと同じ AWS アカウント 方法で AWS アカウント に引き続きアクセスでき、既存のワークフローを引き続き使用してそのアクセスを管理できます。

# IAM アイデンティティセンターによって作成される IAM ロール
<a name="identity-center-and-iam-roles"></a>

 AWS アカウントにユーザーを割り当てると、IAM アイデンティティセンターは IAM ロールを作成して、ユーザーに リソースへのアクセス許可を付与します。

 権限セットを割り当てると、IAM アイデンティティセンターは、IAM アイデンティティセンターでコントロールされる対応する IAM ロールを各アカウントに作成し、権限セットで指定されたポリシーをそれらのロールにアタッチします。IAM Identity Center は、 AWS アクセスポータルまたは を使用してロールを管理し、定義した承認されたユーザーがロールを引き受けることを許可します AWS CLI。アクセス権限セットを変更すると、IAM Identity Center は、対応する IAM ポリシーとロールがそれに応じて更新されることを保証します。IAM Identity Center インスタンスを追加のリージョンにレプリケートしても、既存の IAM ロールには影響せず、新しい IAM ロールも作成されません。

**注記**  
アクセス許可セットは、アプリケーションにアクセス許可を付与するために使用されません。

で IAM ロールを既に設定している場合は AWS アカウント、アカウントが IAM ロールのクォータに近づいているかどうかを確認することをお勧めします。アカウントあたりの IAM ロールのデフォルトクォータは 1000 ロールです。詳細については、「[IAM オブジェクトクォータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)」を参照してください。

クォータに近づいている場合は、クォータの増額をリクエストすることを検討してください。そうしないと、IAM ロールクォータを超えたアカウントにアクセス権限セットをプロビジョニングする際に、IAM Identity Center の問題が発生する可能性があります。クォータ引き上げのリクエストの詳細情報については、「*Service Quotas ユーザーガイド*」の「[クォータ引き上げリクエスト](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)」を参照してください。

**注記**  
すでに IAM アイデンティティセンターを使用しているアカウントの IAM ロールを確認している場合は、ロール名が “AWSReservedSSO\$1” で始まることに気づくかもしれません。これらは、IAM Identity Center サービスがアカウントに作成したロールであり、アカウントにアクセス権限セットを割り当てたものです。

# IAM アイデンティティセンターと AWS Organizations
<a name="identity-center-and-orgs"></a>

AWS Organizations IAM Identity Center で使用するには、 が推奨されますが、必須ではありません。組織をまだ設定していない場合は、設定する必要はありません。IAM Identity Center を有効にする場合、 でサービスを有効にするかどうかを選択します AWS Organizations。組織を設定すると、組織をセットアップ AWS アカウント する が組織の管理アカウントになります。 AWS アカウント のルートユーザーが組織管理アカウントの所有者になりました。組織に追加で招待したすべて AWS アカウント は、メンバーアカウントです。管理アカウントは、メンバーアカウントを管理する組織リソース、組織単位、およびポリシーを作成します。アクセス許可は管理アカウントによってメンバーアカウントに委任されます。

**注記**  
で IAM Identity Center を有効にすることをお勧めします。これにより AWS Organizations、IAM Identity Center の組織インスタンスが作成されます。組織インスタンスは IAM アイデンティティセンターのすべての機能をサポートし、一元管理機能を提供するため、おすすめのベストプラクティスです。詳細については、「[IAM アイデンティティセンターの組織インスタンス](organization-instances-identity-center.md)」を参照してください。

をセットアップ AWS Organizations 済みで、組織に IAM Identity Center を追加する場合は、すべての AWS Organizations 機能が有効になっていることを確認してください。組織を作成する際、デフォルトではすべての機能が有効化されています。詳細については、「**AWS Organizations ユーザーガイド」の「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。

IAM Identity Center の組織インスタンスを有効にするには、 AWS Organizations 管理認証情報を持つユーザーまたはルートユーザー (他の管理ユーザーが存在しない場合を除き推奨されません) として管理アカウントにサインイン AWS マネジメントコンソール して、 にサインインする必要があります。詳細については、「 *AWS Organizations ユーザーガイド*[」の AWS 「組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。

 AWS Organizations メンバーアカウントの管理認証情報を使用してサインインすると、IAM Identity Center のアカウントインスタンスを有効にできます。アカウントインスタンスの機能は限られており、1 つの AWS アカウントにバインドされます。