翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# アプリケーションへのアクセスを設定する
を使用すると AWS IAM アイデンティティセンター、アプリケーションへのシングルサインオンアクセス権を持つユーザーを制御できます。ユーザーは、ディレクトリの認証情報を使ってサインインすると、これらのアプリケーションにシームレスにアクセスできます。
IAM Identity Center は、IAM Identity Center とアプリケーションのサービスプロバイダーとの間の信頼関係を介して、これらのアプリケーションと安全にやり取りします。この信頼は、アプリケーションの種類に応じてさまざまな方法で作成できます。
IAM Identity Center は、[AWS マネージドアプリケーション](awsapps.md)と[カスタマーマネージドアプリケーションの](customermanagedapps.md) 2 つのアプリケーションタイプをサポートしています。 AWS マネージドアプリケーションは、関連するアプリケーションコンソール内またはアプリケーション APIs を介して直接設定されます。カスタマーマネージドアプリケーションは、IAM アイデンティティセンターコンソールに追加され、IAM アイデンティティセンターおよびサービスプロバイダーの両方で適切なメタデータを設定する必要があります。
IAM アイデンティティセンターと連携するようにアプリケーションを設定すると、そのアプリケーションにアクセスするユーザーまたはグループを管理できます。デフォルトでは、ユーザーはアプリケーションに割り当てられません。
また、組織 AWS アカウント 内の特定の AWS マネジメントコンソール の へのアクセス権を従業員に付与することもできます。詳細については、「[へのアクセスを設定する AWS アカウント](manage-your-accounts.md)」を参照してください。
**Topics**
+ [AWS マネージドアプリケーション](awsapps.md)
+ [カスタマーマネージドアプリケーション](customermanagedapps.md)
+ [信頼できる ID の伝播の概要](trustedidentitypropagation-overview.md)
+ [独自の OAuth 2.0 アプリケーションを設定するには](trustedidentitypropagation-using-customermanagedapps-setup.md)
+ [IAM アイデンティティセンター証明書のローテーション](managecerts.md)
+ [IAM アイデンティティセンターコンソールのアプリケーションプロパティを理解する](appproperties.md)
+ [IAM Identity Center コンソールでアプリケーションへのユーザーアクセスを割り当てます。](assignuserstoapp.md)
+ [SAML 2.0 アプリケーションへのユーザーアクセスを削除する](removeaccessfromapp.md)
+ [アプリケーションの属性を IAM Identity Center の属性にマップする](mapawsssoattributestoapp.md)
# AWS マネージドアプリケーション
AWS IAM アイデンティティセンター は、ワークフォースユーザーを Kiro や Amazon Quick などの AWS マネージドアプリケーションに接続するタスクを合理化および簡素化します。IAM アイデンティティセンターを使用することで、既存の ID プロバイダーをいったん接続してディレクトリ内のユーザーやグループと同期したり、あるいは IAM アイデンティティセンターでユーザーを直接作成および管理したりできます。単一のフェデレーションポイントを提供することで、IAM アイデンティティセンターは、各アプリケーション向けにフェデレーションまたはユーザーとグループの同期を設定する操作を不要にし、管理作業を軽減します。[ユーザーとグループの割り当てに関する共通ビュー](howtoviewandchangepermissionset.md)も得られます。
IAM Identity Center と連携する AWS アプリケーションの表については、「」を参照してください[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)。
## AWS マネージドアプリケーションへのアクセスの制御
AWS マネージドアプリケーションへのアクセスは、次の 2 つの方法で制御されます。
+ **アプリケーションへの初回入力**
IAM アイデンティティセンターは、アプリケーションへの割り当てを通じてこれを管理します。デフォルトでは、 AWS マネージドアプリケーションには割り当てが必要です。アプリケーション管理者である場合、アプリケーションへの割り当てを必須にするかどうかを選択できます。
割り当てが必要な場合、ユーザーが AWS アクセスポータルにサインインすると、アプリケーションへの直接割当て、またはグループ割り当てによって割り当てられたユーザーのみがアプリケーションタイルを閲覧できます。
割り当てが不要な場合は、すべての IAM アイデンティティセンターユーザーがアプリケーションにアクセスすることを許可できます。この場合、アプリケーション側はリソースへのアクセスを管理し、アプリケーションタイルは AWS アクセスポータルにアクセスするすべてのユーザーに対して表示されます。
**重要**
IAM Identity Center 管理者の場合は、IAM Identity Center コンソールを使用して、 AWS マネージドアプリケーションへの割り当てを削除できます。割り当てを削除する前に、アプリケーション管理者と調整することをお勧めします。また、割り当てが必要かどうかを決定する設定を変更したり、アプリケーションの割り当てを自動化したりする予定がある場合は、アプリケーション管理者と調整する必要があります。
+ **アプリケーションリソースへのアクセス**
アプリケーションは、アプリケーション側で制御する独立したリソース割り当てを通じてアプリケーションリソースへのアクセスを管理します。
AWS マネージドアプリケーションは、アプリケーションリソースへのアクセスを管理するために使用できる管理ユーザーインターフェイスを提供します。たとえば、クイック管理者は、グループメンバーシップに基づいてダッシュボードにアクセスするユーザーを割り当てることができます。ほとんどの AWS マネージドアプリケーションは、アプリケーションにユーザーを割り当てることができる AWS マネジメントコンソール エクスペリエンスも提供します。これらのアプリケーションのコンソール環境には、ユーザー割り当て機能とアプリケーションリソースへのアクセスを管理する機能を組み合わせるために、両方の機能が統合されている場合があります。
## ID 情報の共有
### で ID 情報を共有する際の考慮事項 AWS アカウント
IAM アイデンティティセンターは、アプリケーション全体で最もよく使用される属性をサポートします。これらの属性には、姓名、電話番号、E メールアドレス、住所、優先する言語が含まれます。この個人を特定できる情報を使用できるアプリケーションとアカウントを慎重に検討してください。
この情報へのアクセスは、次のいずれかの方法で制御できます。
+ AWS Organizations 管理アカウントのみ、または のすべてのアカウントでアクセスを有効にすることができます AWS Organizations。
+ または、サービスコントロールポリシー (SCP) を使って、どのアプリケーションが AWS Organizationsのどのアカウントの情報にアクセスできるかを制御することができます。
たとえば、 AWS Organizations 管理アカウントでのみアクセスを有効にすると、メンバーアカウントのアプリケーションは情報にアクセスできません。すべてのアカウントでアクセスを有効にすると、SCP を使用して許可するアプリケーションを除く、すべてのアプリケーションによるアクセスを禁止できます。
サービスコントロールポリシーは の機能です AWS Organizations。SCP をアタッチする手順については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーのアタッチとデタッチ](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。
### ID 情報を共有するための IAM アイデンティティセンターの設定
IAM アイデンティティセンターは、サインイン認証情報を除く、ユーザーおよびグループの属性を含む ID ストアを提供します。以下のいずれかの方法で、IAM Identity Center ID ストアのユーザーとグループを更新することができます。
+ IAM Identity Center ID ストアをメインの ID ソースとして使用します。この方法を選択した場合は、IAM Identity Center コンソールまたは AWS Command Line Interface () 内からユーザー、サインイン認証情報、グループを管理しますAWS CLI。詳細については、「[アイデンティティセンターディレクトリでユーザーを管理する](manage-your-identity-source-sso.md)」を参照してください。
+ 以下のいずれかの ID ソースから IAM Identity Center の ID ストアにユーザーとグループのプロビジョニング (同期) を設定します。
+ **Active Directory** - 詳細については、「[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)」を参照してください。
+ **外部 ID プロバイダー** - 詳細については、「[外部 ID プロバイダー](manage-your-identity-source-idp.md)」を参照してください。
このプロビジョニング方法を選択した場合、ユーザーとグループの管理は ID ソース内で継続され、それらの変更は IAM アイデンティティセンターの ID ストアに同期されます。
選択した ID ソースにかかわらず、IAM Identity Center はユーザーおよびグループの情報を AWS マネージドアプリケーションと共有できます。そのように、ID ソースを一度 IAM アイデンティティセンターに接続するだけで、 AWS クラウド内の複数のアプリケーションで ID 情報を共有することが可能になります。これにより、アプリケーションごとにフェデレーションや ID のプロビジョニングを個別に設定する必要がなくなります。また、この共有機能により、ユーザーに別の AWS アカウントで、多数のアプリケーションへのアクセスを簡単に与えることができます。
## AWS マネージドアプリケーションの使用を制限する
IAM アイデンティティセンターを初めて有効にすると、 AWS Organizations内のすべてのアカウントで AWS マネージドアプリケーションの ID ソースとして利用可能になります。アプリケーションを制約するには、サービスコントロールポリシー (SCP) を実装する必要があります。SCPsは、組織内の ID (ユーザーとロール) が持つことができる最大アクセス許可を一元的に制御するために AWS Organizations 使用できる の機能です。SCP を使用して、IAM アイデンティティセンターのユーザーおよびグループ情報へのアクセスをブロックし、指定したアカウント以外ではアプリケーションを起動できないようにすることができます。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
以下の SCP の例では、IAM アイデンティティセンターのユーザーおよびグループ情報へのアクセスをブロックし、指定したアカウント(111111111111 および 222222222222)以外ではアプリケーションを起動できないようにすることができます。
```
{
"Sid": "DenyIdCExceptInDesignatedAWSAccounts",
"Effect": "Deny",
"Action": [
"identitystore:*",
"sso:*",
"sso-directory:*",
"sso-oauth:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
}
}
}
```
# AWS IAM Identity Center で使用できる マネージドアプリケーション
IAM アイデンティティセンターでは、既存の ID ソースを接続したり、ユーザーを 1 回作成したりできます。これにより、アプリケーション管理者は、個別のフェデレーションやユーザーとグループの同期なしで、次の AWS マネージドアプリケーションへのアクセスを管理できます。
次の表のすべての AWS マネージドアプリケーションは、[IAM Identity Center の組織インスタンス](organization-instances-identity-center.md)と統合されています。この表は、サポートされている AWS マネージドアプリケーションの以下に関する情報も示しています。
+ アプリケーションが IAM アイデンティティセンターのアカウントインスタンスとも統合されているかどうか
+ アプリケーションが IAM アイデンティティセンターを介した信頼できる ID の伝播を有効化できるかどうか
+ アプリケーションがカスタマーマネージド KMS キーで設定された IAM アイデンティティセンターをサポートしているかどうか
+ アプリケーションが IAM アイデンティティセンターの追加リージョンでのデプロイをサポートしているかどうか
**注記**
IAM アイデンティティセンターの追加リージョンへのデプロイをサポートするアプリケーションは、カスタマーマネージド KMS キーで設定された IAM アイデンティティセンターもサポートします。ここにリストされているすべての AWS マネージドアプリケーションは、プライマリリージョンでのデプロイをサポートしています。詳細については、「[複数の にまたがる AWS マネージドアプリケーションのデプロイと管理 AWS リージョン](multi-region-application-use.md#multi-region-aws-managed-applications)」を参照してください。
**AWS IAM Identity Center と統合する マネージドアプリケーション**
| AWS マネージドアプリケーション | [IAM アイデンティティセンターのアカウントインスタンス](account-instances-identity-center.md)との統合 | IAM アイデンティティセンターを介した[信頼できる ID の伝播](trustedidentitypropagation-overview.md)の有効化 | [カスタマーマネージド KMS キー](encryption-at-rest.md)で設定された IAM アイデンティティセンターをサポート | [IAM アイデンティティセンターの追加リージョン](multi-region-iam-identity-center.md)でのデプロイをサポート |
| --- | --- | --- | --- | --- |
| Amazon Athena SQL | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon EKS の機能 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| EC2 での Amazon EMR | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon EMR on EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon EMR Serverless | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon OpenSearch Service | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon OpenSearch Service Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon Q Business | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon Redshift | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい 2 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい |
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい |
| Amazon SageMaker Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon SageMaker Unified Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS App Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい |
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい |
| AWS re:Post Private | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS Supply Chain | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい - Fleet Manager リモートデスクトップ |
| AWS Transfer Family ウェブアプリ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS 変換 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| AWS Verified Access | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| Kiro | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい 1 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| マルチパーティー承認 | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/negative_icon.svg) いいえ |
1 Kiro の場合、ユーザーが AWS ウェブサイト上の Kiro 機能の完全なセットにアクセスする必要がある場合を除き、IAM Identity Center のアカウントインスタンスがサポートされます。詳細については、[Kiro ユーザーガイドの「Kiro のセットアップ](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html)」を参照してください。 **
2 Amazon Redshift では、IAM Identity Center のアカウントインスタンスがサポートされていますが、アカウントインスタンスではサポートされていないアクセス許可セットを必要とする Query Editor v2 などのアプリケーションを除きます。
**注記**
Amazon Connect や などの一部の AWS サービスは AWS Client VPN 、IAM Identity Center で使用できますが、この表には記載されていません。これは、SAML のみを使用して IAM Identity Center と統合されるため、[カスタマーマネージドアプリケーション](customermanagedapps.md)に分類されるためです。
# クイックスタート: AWS マネージドアプリケーションをテストするための IAM Identity Center のセットアップ
管理者が IAM Identity Center へのアクセスをまだ許可していない場合は、このトピックのステップを使用して、 AWS マネージドアプリケーションをテストするように IAM Identity Center を設定できます。IAM Identity Center を有効にし、IAM Identity Center でユーザーを直接作成し、そのユーザーを AWS マネージドアプリケーションに割り当てる方法について説明します。
このトピックでは、次のいずれかの方法で IAM アイデンティティセンターを有効にする方法に関するクイックスタートステップについて説明します。
+ **で AWS Organizations** — このオプションを選択すると、IAM Identity Center の*組織インスタンス*が作成されます。
+ **特定の のみ AWS アカウント** – このオプションを選択すると、IAM Identity Center の*アカウントインスタンス*が作成されます。
これらのインスタンスタイプの詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
## 前提条件
IAM アイデンティティセンターを有効にする前に、以下を確認してください。
+ **がある – AWS アカウント** がない場合は AWS アカウント、「 アカウント管理リファレンスガイド[」の「 の開始方法 AWS アカウント](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)」を参照してください。 *AWS *
+ ** AWS マネージドアプリケーションは IAM アイデンティティセンターと連携** – のリスト[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)を確認して、テストする AWS マネージドアプリケーションが IAM アイデンティティセンターと連携していることを確認します。
+ **リージョン別の考慮事項を確認した –** テストする AWS マネージドアプリケーションが、IAM Identity Center を有効にする AWS リージョン でサポートされていることを確認します。詳細については、 AWS マネージドアプリケーションのドキュメントを参照してください。
**注記**
AWS マネージドアプリケーションは、IAM Identity Center を有効にする予定のリージョンと同じリージョンにデプロイする必要があります。
## AWS マネージドアプリケーションをテストするための IAM Identity Center の組織インスタンスのセットアップ
**注記**
このトピックでは、 を使用して IAM Identity Center を有効にする方法について説明します。これは AWS Organizations、IAM Identity Center を有効にするために推奨される方法です。
**アクセス許可を確認する**
で IAM Identity Center を有効にするには AWS Organizations、次のいずれかの方法で マネジメントコンソールに AWS サインインする必要があります。
+ AWS アカウント で IAM アイデンティティセンターを有効にする AWS Organizationsで管理権限を持つユーザー。
+ ルートユーザー (他の管理ユーザーが存在しない場合を除き、推奨されません)。
**重要**
ルートユーザーは、アカウント内のすべての AWS サービスとリソースにアクセスできます。セキュリティのベストプラクティスとして、他の認証情報がない場合は、アカウントのルート認証情報を使用して AWS リソースにアクセスしないでください。これらの認証情報は無制限のアカウントアクセスを提供し、取り消すのが困難です。
### ステップ 1. で IAM アイデンティティセンターを有効にする AWS Organizations
1. 以下のいずれかを行って、 AWS マネジメントコンソールにサインインします。
+ **New to AWS (ルートユーザー)** – **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
+ **スタンドアロン AWS アカウント (IAM 認証情報) AWS で を既に使用** – 管理者権限を持つ IAM 認証情報を使用してサインインします。
1. AWS マネジメントコンソールのホームページで、IAM Identity Center サービスを選択するか、[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)に移動します。
1. **Enable** を選択し、 を使用して IAM Identity Center を有効にします AWS Organizations。これを行うと、IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)が作成されます。
### ステップ 2. IAM アイデンティティセンターでの管理ユーザーの作成
この手順では、組み込みのアイデンティティセンターディレクトリでユーザーを直接作成する方法について説明します。このディレクトリは、管理者がワークフォースユーザーの管理に使用する可能性のある他のディレクトリに接続されていません。IAM アイデンティティセンターでユーザーを作成したら、このユーザーの新しい認証情報を指定します。このユーザーとしてサインインして AWS マネージドアプリケーションをテストすると、企業リソースへのアクセスに使用する既存の認証情報ではなく、新しい認証情報でサインインします。
**注記**
テスト目的でのみユーザーを作成する場合は、この方法を使用することが推奨されます。
1. IAM アイデンティティセンターコンソールのナビゲーションペインで、**[ユーザー]**、**[ユーザーを追加]** の順に選択します。
1. コンソールのガイダンスに従ってユーザーを追加します。「**パスワード設定手順を記載した E メールをこのユーザーに送信**」を選択したまま、アクセスできる E メールアドレスを指定していることを確認します。
1. ナビゲーションペインで、 を選択し AWS アカウント、アカウントの横にあるチェックボックスをオンにして、**ユーザーまたはグループの割り当て**を選択します。
1. **[ユーザー]** タブを選択し、追加したユーザーの横にあるチェックボックスをオンにして、**[次へ]** を選択します。
1. **[アクセス許可セットの作成]** を選択し、コンソールのガイダンスに従って `AdministratorAccess` の事前定義されたアクセス許可セットを作成します。
1. 完了すると、新しいアクセス許可セットがリストに表示されます。ブラウザウィンドウの**[アクセス許可セット]** タブを閉じて、**[ユーザーとグループの割り当て]** タブに戻り、アクセス**[許可セットの作成]** の横にある更新アイコンを選択します。
1. **[ユーザーとグループのブラウザの割り当て]** タブに、新しいアクセス許可セットがリストに表示されます。アクセス許可セットの名前の横にあるチェックボックスを選択し、**[次]** へを選択し、**[送信]** を選択します。
1. コンソールからサインアウトします。
### ステップ 3. 管理者ユーザーとして AWS アクセスポータルにサインインする
AWS アクセスポータルは、作成したユーザーに AWS マネジメントコンソールへのアクセスを提供するウェブポータルです。 AWS アクセスポータルにサインインする前に、IAM アイデンティティセンターへの参加の招待を承諾し、ユーザー認証情報をアクティブ化する必要があります。
1. E メールの件名で「** AWS IAM アイデンティティセンターへの参加を招待する**」を確認してください。
1. **[招待を受け入れる]** を選択し、サインアップページのガイダンスに従って、ユーザーの新しいパスワードの設定、サインイン、MFA デバイスの登録を行います。
1. MFA デバイスを登録すると、 AWS アクセスポータルが開きます。
1. AWS アクセスポータルで、 AWS アカウント を選択し、**AdministratorAccess** を選択します。 AWS 管理コンソールにリダイレクトされます。
### ステップ 4. IAM Identity Center を使用するように AWS マネージドアプリケーションを設定する
1. AWS マネジメントコンソールにサインインしている間、使用する AWS マネージドアプリケーションのコンソールを開きます。
1. コンソールのガイダンスに従って、IAM Identity Center を使用するように AWS マネージドアプリケーションを設定します。このプロセス中に、作成したユーザーをアプリケーションに割り当てることができます。
## AWS マネージドアプリケーションをテストするための IAM Identity Center のアカウントインスタンスの設定
**注記**
IAM アイデンティティセンターのアカウントインスタンスにより、デプロイは単一の AWS アカウントに制限されます。このインスタンスは、テストする AWS アプリケーション AWS リージョン と同じ で有効にする必要があります。
**アプリを確認する**
IAM アイデンティティセンターと連携するすべての AWS マネージドアプリケーションは、IAM アイデンティティセンターの組織インスタンスで使用できます。ただし、これらのアプリケーションの一部のみを IAM アイデンティティセンターのアカウントインスタンスで使用できます。[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md) のリストを確認します。
### ステップ 1. IAM アイデンティティセンターのアカウントインスタンスを有効にする
1. 以下のいずれかを行って、 AWS マネジメントコンソールにサインインします。
+ **New to AWS (ルートユーザー)** – **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
+ **スタンドアロン AWS アカウント (IAM 認証情報) AWS で を既に使用** – 管理者権限を持つ IAM 認証情報を使用してサインインします。
1. AWS マネジメントコンソールのホームページで、IAM Identity Center サービスを選択するか、[IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)に移動します。
1. **[有効化]** を選択します。
1. **[ AWS Organizationsで IAM アイデンティティセンターを有効にする]** ページで、**[IAM アイデンティティセンターのアカウントインスタンスを有効にする]**を選択します。
1. **[IAM アイデンティティセンターのアカウントインスタンスを有効にする]**ページで、情報を確認し、オプションでこのアカウントインスタンスに関連付けるタグを追加します。次に、**[Enable]** (有効化) を選択します。
### ステップ 2. IAM アイデンティティセンターでユーザーを作成する
この手順では、組み込みのアイデンティティセンターディレクトリでユーザーを直接作成する方法について説明します。このディレクトリは、管理者がワークフォースユーザーの管理に使用する可能性のある他のディレクトリに接続されていません。IAM アイデンティティセンターでユーザーを作成したら、このユーザーの新しい認証情報を指定します。このユーザーとしてサインインして AWS マネージドアプリケーションをテストすると、新しい認証情報でサインインします。新しい認証情報では、他の企業リソースにアクセスすることはできません。
**注記**
テスト目的でのみユーザーを作成する場合は、この方法を使用することが推奨されます。
1. IAM アイデンティティセンターコンソールのナビゲーションペインで、**[ユーザー]**、**[ユーザーを追加]** の順に選択します。
1. コンソールのガイダンスに従ってユーザーを追加します。「**パスワード設定手順を記載した E メールをこのユーザーに送信**」を選択したまま、アクセスできる E メールアドレスを指定していることを確認します。
1. コンソールからサインアウトします。
### ステップ 3. IAM Identity Center ユーザーとして AWS アクセスポータルにサインインする
AWS アクセスポータルは、作成したユーザーに AWS マネジメントコンソールへのアクセスを提供するウェブポータルです。 AWS アクセスポータルにサインインする前に、IAM アイデンティティセンターへの参加の招待を承諾し、ユーザー認証情報をアクティブ化する必要があります。
1. E メールの件名で「** AWS IAM アイデンティティセンターへの参加を招待する**」を確認してください。
1. **[招待を受け入れる]** を選択し、サインアップページのガイダンスに従って、ユーザーの新しいパスワードの設定、サインイン、MFA デバイスの登録を行います。
1. MFA デバイスを登録すると、 AWS アクセスポータルが開きます。アプリケーションが利用可能になると、**[アプリケーション]** タブに表示されます。
**注記**
AWS アカウントインスタンスをサポートするアプリケーションを使用すると、ユーザーは追加のアクセス許可を必要とせずにアプリケーションにサインインできます。したがって、**[アカウント]** タブは空のままになります。
### ステップ 4. IAM Identity Center を使用するように AWS マネージドアプリケーションを設定する
1. AWS マネジメントコンソールにサインインしている間、使用する AWS マネージドアプリケーションのコンソールを開きます。
1. コンソールのガイダンスに従って、IAM Identity Center を使用するように AWS マネージドアプリケーションを設定します。このプロセス中に、作成したユーザーをアプリケーションに割り当てることができます。
# AWS マネージドアプリケーションの詳細の表示と変更
アプリケーションのコンソールまたは APIs を使用して AWS マネージドアプリケーションを IAM アイデンティティセンターに接続すると、アプリケーションは IAM アイデンティティセンターに登録されます。アプリケーションが IAM アイデンティティセンターに登録されると、IAM アイデンティティセンターコンソール上でアプリケーションの詳細を確認および変更できます。
アプリケーションに関する情報には、ユーザーとグループの割り当てが必要かどうか、該当する場合は ID を伝播するために割り当てられたユーザーとグループ、および信頼できるアプリケーションが含まれます。信頼できる ID 伝播の詳細については、「[信頼できる ID の伝播の概要](trustedidentitypropagation-overview.md)」を参照してください。
**IAM Identity Center コンソールで AWS マネージドアプリケーションに関する情報を表示および変更するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. **[AWS マネージド]** タブを選択します。
1. 確認したいマネージドアプリケーションのリンクを選択します。
1. AWS マネージドアプリケーションに関する情報を変更する場合は、**「アクション**」を選択し、**「詳細の編集**」を選択します。
1. アプリケーションの表示名、説明、およびユーザーやグループの割り当て方法を変更できます。
1. 表示名を変更するには、表示名フィールドに希望の**名前**を入力し、**[変更の保存]** を選択します。
1. 説明を変更するには、**[説明]** フィールドに希望の説明文を入力し、**[変更の保存]** を選択します。
1. ユーザーとグループの割り当て方法を変更するには、必要な変更を行い、**[変更の保存]** を選択します。詳細については、「[IAM アイデンティティセンターにおけるユーザー、グループ、およびプロビジョニング](users-groups-provisioning.md)」を参照してください。
# AWS マネージドアプリケーションの無効化
ユーザーが AWS マネージドアプリケーションに対して認証されないようにするには、IAM Identity Center コンソールでアプリケーションを無効にします。
**AWS マネージドアプリケーションを無効にするには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. [**アプリケーション**] ページの [**AWS マネージドアプリケーション**] で、無効にするアプリケーションを選択します。
1. アプリケーションを選択した状態で、[**アクション**] を選択し、[**無効にする**] を選択します。
1. **[アプリケーションの無効化]** ダイアログボックスで、**[無効化]** を選択します。
1. [**AWS マネージドアプリケーション**] リストでは、アプリケーションの状態は [**非アクティブ**」と表示されます。
**注記**
AWS マネージドアプリケーションが無効になっている場合は、**Actions** を選択してから **Enable** を選択することで、アプリケーションに対して認証できるユーザーを復元できます。
# ID 拡張コンソールセッションの有効化
コンソールのアイデンティティ拡張セッションは、ユーザーのエクスペリエンスをパーソナライズするための追加のユーザーコンテキストを提供することで、ユーザーの AWS コンソールセッションを強化します。この機能は現在、[AWS アプリやウェブサイトで Kiro の Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html) Pro ユーザーに対してサポートされています。
既存のアクセスパターンやコンソールへのフェデレーションを変更することなく、アイデンティティが強化された AWS コンソールセッションを有効にできます。ユーザーが IAM を使用して AWS コンソールにサインインする場合 (たとえば、IAM ユーザーとしてサインインする場合や、IAM によるフェデレーティッドアクセスを通じてサインインする場合)、これらのメソッドを引き続き使用できます。ユーザーが AWS アクセスポータルにサインインすると、IAM Identity Center のユーザー認証情報を引き続き使用できます。
**Topics**
+ [前提条件と考慮事項](#prereqs-and-considerations)
+ [ID 拡張コンソールセッションを有効にする方法](#enable-identity-enhanced-sessions-q)
+ [ID 拡張コンソールセッションの仕組み](#how-identity-enhanced-sessions-work)
## 前提条件と考慮事項
ID 拡張コンソールセッションを有効にする前に、以下の前提条件と考慮事項を確認してください。
+ ユーザーが Kiro Pro サブスクリプションを介して AWS アプリやウェブサイトで Kiro にアクセスする場合は、アイデンティティ強化コンソールセッションを有効にする必要があります。
**注記**
Kiro ユーザーは ID 拡張セッションなしで Kiro にアクセスできますが、Kiro Pro サブスクリプションにはアクセスできません。
+ ID 拡張コンソールセッションには、IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)が必要です。
+ オプトインで IAM Identity Center を有効にした場合、Kiro との統合はサポートされていません AWS リージョン。
+ ID 拡張コンソールセッションを有効にするには、次のアクセス許可が必要です。
+ `sso:CreateApplication`
+ `sso:GetSharedSsoConfiguration`
+ `sso:ListApplications`
+ `sso:PutApplicationAssignmentConfiguration`
+ `sso:PutApplicationAuthenticationMethod`
+ `sso:PutApplicationGrant`
+ `sso:PutApplicationAccessScope`
+ `signin:CreateTrustedIdentityPropagationApplicationForConsole`
+ `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ ユーザーが ID 拡張コンソールセッションを使用できるようにするには、ID ベースのポリシーで `sts:setContext` アクセス許可を付与する必要があります。詳細については、「[ユーザーに ID 拡張コンソールセッションを使用するアクセス許可を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html)」を参照してください。
## ID 拡張コンソールセッションを有効にする方法
Kiro コンソールまたは IAM Identity Center コンソールで ID 拡張コンソールセッションを有効にできます。
**Kiro コンソールでアイデンティティ拡張コンソールセッションを有効にする**
ID 拡張コンソールセッションを有効にする前に、ID ソースが接続された IAM アイデンティティセンターの組織インスタンスが必要です。IAM アイデンティティセンターを既に設定している場合は、ステップ 3 に進みます。
1. IAM Identity Center コンソールを開きます。**[有効化]** を選択し、IAM アイデンティティセンターの組織インスタンスを作成します。詳細については、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。
1. ID ソースを IAM アイデンティティセンターに接続し、ユーザーを IAM アイデンティティセンターにプロビジョニングします。既存の ID ソースを IAM アイデンティティセンターに接続するか、あるいは別に使用している ID ソースがない場合は イデンティティセンターディレクトリを利用できます。詳細については、「[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)」を参照してください。
1. IAM アイデンティティセンターの設定が完了したら、Kiro コンソールを開き、*Kiro ユーザーガイド*[のサブスクリプション](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html)のステップに従います。ID 拡張コンソールセッションを必ず有効にしてください。
**注記**
ID 拡張コンソールセッションを有効にするのに十分なアクセス許可がない場合は、IAM アイデンティティセンター管理者に依頼して IAM アイデンティティセンターコンソール上でこのタスクを実行してもらってください。詳細については、次の手順を参照してください。
**IAM アイデンティティセンターコンソールで ID 拡張コンソールセッションを有効にする**
IAM アイデンティティセンター管理者は、別の管理者から IAM アイデンティティセンターコンソールでの ID 拡張コンソールセッションの有効化を依頼されることがあります。
1. IAM Identity Center コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[ID 拡張セッションを有効にする]** で、**[有効化]** を選択します。
1. 次に表示されるメッセージに対して、**[有効化]** を再度選択します。
1. ID 拡張コンソールセッションの有効化が完了すると、**[設定]** ページの上部に確認メッセージが表示されます。
1. **[詳細]** セクションに表示される **[ID 拡張セッション]** のステータスが **[有効]** になっているはずです。
## ID 拡張コンソールセッションの仕組み
IAM アイデンティティセンターでユーザーの現在のコンソールセッションを拡張することで、アクティブな IAM アイデンティティセンターユーザー ID と IAM アイデンティティセンターセッション ID を含むようにすることができます。
ID 拡張コンソールセッションには、次の 3 つの値が含まれます。
+ **Identity Store ユーザー ID** ([identitystore:UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)) - この値は、IAM アイデンティティセンターに接続されている ID ソース内のユーザーを一意に識別するのに使用されます。
+ **ID ストアディレクトリ ARN** ([identitystore:IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)) - この値は、IAM アイデンティティセンターに接続され、`identitystore:UserId` の属性検索を可能にする ID ストアの ARN です。
+ **IAM アイデンティティセンターセッション ID** - この値は、ユーザーの IAM アイデンティティセンターセッションがまだ有効かどうかを示します。
値は同じですがさまざまな方法で取得され、ユーザーがサインインする方法に応じてプロセスのさまざまなポイントに追加されます。
+ **IAM Identity Center (AWS アクセスポータル)**: この場合、ユーザーの ID ストアユーザー ID と ARN 値は、アクティブな IAM Identity Center セッションで既に指定されています。IAM アイデンティティセンターには、セッション ID のみを追加することで現在のセッションを拡張する機能があります。
+ **その他のサインイン方法**: ユーザーが IAM ユーザー、IAM ロール、または IAM のフェデレーションユーザーとして AWS にサインインする場合、これらの値は提供されません。IAM アイデンティティセンターは、ID ストアユーザー ID、ID ストアディレクトリ ARN、およびセッション ID を追加することで現在のセッションを拡張します。
# カスタマーマネージドアプリケーション
IAM アイデンティティセンターは、ワークフォースユーザーとグループに対する集中 ID サービスとして機能します。すでに ID プロバイダー (IdP) を使用している場合は、IAM アイデンティティセンターを IdP と統合して、ユーザーとグループを IAM アイデンティティセンターにプロビジョニングし、ご自分の IdP を認証に使用することができます。1 つの接続で、IAM Identity Center は複数の IdP を表 AWS のサービス し、OAuth 2.0 アプリケーションがユーザーに代わってこれらのサービスのデータへのアクセスをリクエストできるようにします。また、IAM アイデンティティセンターを使用して、[SAML 2.0](https://wiki.oasis-open.org/security) アプリケーションへのアクセスをユーザーに割り当てることができます。これにはAmazon Connect や などの AWS サービスが含まれます。これらのサービスは AWS Client VPN、SAML のみを使用して IAM アイデンティティセンターと統合されるため、カスタマーマネージドアプリケーションに分類されます。
+ アプリケーション**が JSON ウェブトークン (JWTs) **をサポートしている場合は、IAM アイデンティティセンターの信頼できる ID 伝達機能を使用して、アプリケーションがユーザー AWS のサービス に代わって のデータへのアクセスをリクエストできるようにします。信頼できる ID の伝播機能は OAuth 2.0 認証フレームワーク上に構築されており、アプリケーションが外部の OAuth 2.0 認証サーバーから取得した ID トークンを IAM アイデンティティセンターが発行し、 AWS のサービスによって認識されるトークンと交換するためのオプションが含まれています。詳細については、「[信頼できる ID の伝播のユースケース](trustedidentitypropagation-integrations.md)」を参照してください。
+ アプリケーションが **SAML 2.0** をサポートしている場合は、[IAM アイデンティティセンターの組織インスタンス](identity-center-instances.md)に接続できます。IAM アイデンティティセンターを使用して、SAML 2.0 アプリケーションへのアクセスを割り当てることができます。
**注記**
カスタマーマネージドアプリケーションを[カスタマーマネージド KMS キー](encryption-at-rest.md)を使用する IAM Identity Center インスタンスと統合する場合は、アプリケーションが IAM Identity Center サービス APIs を呼び出して、アプリケーションに KMS キーのアクセス許可が必要かどうかを確認します。IAM Identity Center ユーザーガイドのベースライン KMS キー[ポリシーのカスタムワークフローに KMS キー](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)アクセス許可を付与するためのガイダンスに従ってください。
**Topics**
+ [SAML 2.0 および OAuth 2.0 アプリケーションへのシングルサインオンアクセス](customermanagedapps-saml2-oauth2.md)
+ [カスタマー管理 SAML 2.0 アプリケーションの設定](customermanagedapps-saml2-setup.md)
# SAML 2.0 および OAuth 2.0 アプリケーションへのシングルサインオンアクセス
IAM アイデンティティセンターでは、SAML 2.0 アプリケーションまたは OAuth 2.0 アプリケーションへのシングルサインオンアクセスをユーザーに提供できます。以下のトピックでは、SAML 2.0 と OAuth 2.0 の大まかな概観を説明します。
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)
## SAML 2.0
SAML 2.0 は、SAML 認証機関 (ID プロバイダーまたは IdP) と SAML 2.0 コンシューマー (サービスプロバイダーまたは SP) との間でユーザーに関する情報を渡す SAML アサーションを安全に交換するための業界標準です。IAM Identity Center は、この情報を使用して、 アクセスポータル内のアプリケーションの使用が許可されているユーザーにフェデレーティッドシングルサインオン AWS アクセスを提供します。
**注記**
IAM アイデンティティセンターは、SAML アプリケーションからの受信 SAML 認証リクエストの署名の検証をサポートしていません。
## OAuth 2.0
OAuth 2.0 は、アプリケーションがパスワードを共有せずにユーザーデータに安全にアクセスして共有できるようにするプロトコルです。この機能により、アプリケーションによるリソースへのアクセスを、安全かつ標準化された方法でユーザーに許可できます。アクセスは、さまざまな OAuth 2.0 付与フローによって容易になります。
IAM Identity Center を使用すると、パブリッククライアントで実行されるアプリケーションは、ユーザーに代わってプログラムで AWS アカウント および サービスにアクセスするための一時的な認証情報を取得できます。パブリッククライアントは通常、ローカルでアプリケーションを実行するのに使用されるデスクトップ、ノートパソコン、またはその他のモバイルデバイスです。パブリッククライアントで実行されるアプリケーションの例 AWS には、 AWS Command Line Interface (AWS CLI) AWS Toolkit、、および AWS Software Development Kit (SDKs。これらのアプリケーションが認証情報を取得できるように、IAM アイデンティティセンターは次の OAuth 2.0 フローの一部をサポートしています。
+ コード交換用検証キー (PKCE) を使用した認証コードの付与 ([RFC 6749](https://www.rfc-editor.org/rfc/rfc6749#section-4.1) および [RFC 7636](https://www.rfc-editor.org/rfc/rfc7636))
+ デバイス認可付与 ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**注記**
これらのグラントタイプは、この機能をサポートする AWS のサービス でのみ使用できます。これらのサービスは、すべての AWS リージョンでこの許可タイプをサポートしていない場合があります。リージョンの違い AWS のサービス については、 の関連ドキュメントを参照してください。
OpenID Connect (OIDC) は、OAuth 2.0 フレームワークに基づく認証プロトコルです。OIDC は、認証に OAuth 2.0 を使用する方法を指定します。[IAM アイデンティティセンター OIDC サービス API](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html) を介してアプリケーションは OAuth 2.0 クライアントを登録し、これらのフローのいずれかを使用して IAM アイデンティティセンターで保護された API へのアクセス許可を提供するアクセストークンを取得します。アプリケーションは、目的の API ユーザーを宣言するための[アクセススコープ](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc)を指定します。IAM アイデンティティセンター管理者として ID ソースを設定した後、アプリケーションのエンドユーザーがまだサインインプロセスを完了していない場合は、サインインプロセスを完了する必要があります。その後、エンドユーザーは、アプリケーションが API コールを行うことに同意する必要があります。これらの API コールは、ユーザー自身の権限を使用して行われます。これに対して IAM アイデンティティセンターは、ユーザーが同意したアクセススコープを含むアクセストークンをアプリケーションに返します。
### OAuth 2.0 許可フローの使用
OAuth 2.0 グラントフローは、フローをサポートする AWS マネージドアプリケーションでのみ使用できます。OAuth 2.0 フローを使用するには、IAM Identity Center のインスタンスと、使用するサポートされている AWS マネージドアプリケーションのインスタンスを 1 つの にデプロイする必要があります AWS リージョン。各 のドキュメントを参照して AWS のサービス 、 AWS マネージドアプリケーションのリージョンでの可用性と、使用する IAM アイデンティティセンターのインスタンスを確認してください。
OAuth 2.0 フローを使用するアプリケーションを使用するには、エンドユーザーがアプリケーションの接続先 URL を入力してお使いの IAM アイデンティティセンターインスタンスに登録する必要があります。アプリケーションによっては、管理者が IAM アイデンティティセンターインスタンスの **AWS アクセスポータル URL** または**発行者 URL** をユーザーに提供する必要があります。これらの 2 つの設定は、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon/)の **[設定]** ページで確認できます。クライアントアプリケーションの設定の詳細については、そのアプリケーションのドキュメントを参照してください。
アプリケーションにサインインして同意するエンドユーザーエクスペリエンスの詳細は、そのアプリケーションが [PKCE を使用した認可コード付与](#auth-code-grant-pkce) と [デバイス認可付与](#device-auth-grant) のいずれを使用しているかどうかによって異なります。
#### PKCE を使用した認可コード付与
このフローは、ブラウザを持つデバイスで実行されるアプリケーションによって使用されます。
1. ブラウザウィンドウが開きます。
1. ユーザーがまだ認証されていない場合、ブラウザはユーザーをリダイレクトして認証完了を促します。
1. 認証後、次の項目を表示した同意画面がユーザーに対して表示されます。
+ アプリケーションの名前
+ アプリケーションが使用のための同意を求めるアクセス範囲
1. ユーザーは同意プロセスをキャンセルすることができます。同意すると、アプリケーションはそのユーザーの持つアクセス許可に基づいてアクセス処理を進めます。
#### デバイス認可付与
このフローは、ブラウザの有無にかかわらず、デバイスで実行されるアプリケーションで使用できます。アプリケーションがフローを開始すると、アプリケーションは、フローの後半でユーザーが確認する必要がある URL とユーザーコードを表示します。フローを開始するアプリケーションがユーザーが同意したデバイスとは異なるデバイスで実行されている場合に備えて、このユーザーコードが必要となります。このコードにより、ユーザーが他のデバイスで開始したフローに同意していることを保証します。
**注記**
`device.sso.region.amazonaws.com` を使用するクライアントがある場合は、コード交換 (PKCE) の証明キーを使用するように認可フローを更新する必要があります。IAM アイデンティティセンターでの MFA の詳細については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLIを使用した多要素認証](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)」を参照してください。
1. ブラウザを持つデバイスからフローが開始されると、ブラウザウィンドウが開きます。フローがブラウザを持たないデバイスで開始された場合、ユーザーは別のデバイスでブラウザを開き、アプリケーションが提示した URL に移動する必要があります。
1. いずれの場合も、ユーザーが認証されていない場合、ブラウザはユーザーをリダイレクトして認証完了を促します。
1. 認証後、次の項目を表示した同意画面がユーザーに対して表示されます。
+ アプリケーションの名前
+ アプリケーションが使用のための同意を求めるアクセス範囲
+ アプリケーションがユーザーに提示したユーザーコード
1. ユーザーは同意プロセスをキャンセルすることができます。同意すると、アプリケーションはそのユーザーの持つアクセス許可に基づいてアクセス処理を進めます。
### アクセススコープ
*スコープ*は、OAuth 2.0 フローを介してアクセスできるサービスへのアクセスを定義します。スコープは、リソースサーバーとも呼ばれるサービスが、アクションやサービスリソースに関連する権限をグループ化する方法であり、OAuth 2.0 クライアントがリクエストできる操作を大まかに指定します。OAuth 2.0 クライアントが [IAM アイデンティティセンター OIDC サービス](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html)に登録すると、クライアントは意図されるアクションを宣言するスコープを指定します。これに対してユーザーは同意する必要があります。
OAuth 2.0 クライアントは、[「OAuth 2.0 (RFC6749)」のセクション 3.3](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) で定義されている `scope` 値を使用して、アクセストークンにリクエストされるアクセス権限を指定します。クライアントがアクセストークンをリクエストする際には、最大 25 件のスコープを指定できます。PKCE またはデバイス認可付与フローで認証コード付与中にユーザーが同意すると、IAM アイデンティティセンターは返されるアクセストークンにスコープをエンコードします。
AWS は、サポート対象の IAM アイデンティティセンターにスコープを追加します AWS のサービス。次の表に、パブリッククライアントを登録する際に IAM アイデンティティセンター OIDC サービスがサポートするスコープを示します。
#### パブリッククライアントの登録時に IAM Identity Center OIDC サービスがサポートするアクセススコープ
****
| スコープ | 説明 | がサポートするサービス |
| --- | --- | --- |
| sso:account:access | IAM Identity Center が管理するアカウントとアクセス権限セットにアクセスします。 | IAM アイデンティティセンター |
| codewhisperer:analysis | Kiro コード分析へのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:completions | Kiro インラインコード提案へのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:conversations | Kiro チャットへのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:taskassist | ソフトウェア開発のために Kiro Agent へのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:transformations | コード変換のために Kiro エージェントへのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codecatalyst:read\$1write | Amazon CodeCatalyst リソースの読み取りと書き込みが可能なため、既存のすべてのリソースにアクセスできます。 | AWS ビルダー ID および IAM Identity Center |
| verified\$1access:application:connect | を有効にする AWS Verified Access | AWS Verified Access |
| redshift:connect | Amazon Redshift に接続する | Amazon Redshift |
| datazone:domain:access | DataZone ドメイン実行ロールにアクセスする | Amazon DataZone |
| nosqlworkbench:datamodeladviser | データモデルの作成と読み取り | NoSQL Workbench |
| transform:read\$1write | コード AWS 変換のために変換エージェントへのアクセスを有効にする | AWS 変換 |
# カスタマー管理 SAML 2.0 アプリケーションの設定
[SAML 2.0](https://wiki.oasis-open.org/security) をサポートするカスタマーマネージドアプリケーションを使用している場合は、SAML 2.0 を介して IdP を IAM アイデンティティセンターにフェデレーションし、IAM アイデンティティセンターを使用してそれらのアプリケーションへのユーザーアクセスを管理できます。IAM アイデンティティセンターコンソールでよく使用されるアプリケーションのカタログから SAML 2.0 アプリケーションを選択するか、独自の SAML 2.0 アプリケーションを設定できます。
**注記**
OAuth 2.0 をサポートするカスタマーマネージドアプリケーションがあり、ユーザーがこれらのアプリケーションから にアクセスする必要がある場合は AWS のサービス、信頼できる ID 伝達を使用できます。信頼できる ID の伝播を使用すると、ユーザーはアプリケーションにサインインでき、そのアプリケーションは AWS のサービス内のデータにアクセスするためのリクエストでユーザーの ID を渡すことができます。
**Topics**
+ [IAM アイデンティティセンターアプリケーションカタログからアプリケーションを設定する](saasapps.md)
+ [独自の SAML 2.0 アプリケーションをセットアップする](customermanagedapps-set-up-your-own-app-saml2.md)
# IAM アイデンティティセンターアプリケーションカタログからアプリケーションを設定する
IAM アイデンティティセンターコンソールのアプリケーションカタログを使用して、IAM アイデンティティセンターと連携するよく使用されている多くの SAML 2.0 アプリケーションを追加することができます。例としては、Salesforce、Box、Microsoft 365 などがあります。
ほとんどのアプリケーションで、IAM アイデンティティセンターとアプリケーションのサービスプロバイダーとの間の信頼関係を設定する方法に関する詳細情報が提供されます。この情報は、カタログでアプリケーションを選択すると、アプリケーションの設定ページで利用できます。アプリケーションを設定したら、必要に応じて IAM アイデンティティセンターのユーザーまたはグループにアクセス権を割り当てることができます。
IAM アイデンティティセンターとアプリケーションのサービスプロバイダーとの間で SAML 2.0 の信頼関係を設定するには、以下の手順を実行します。
この手順を開始する前に、信頼をより効率的に設定できるように、サービスプロバイダーのメタデータ交換ファイルがあることが役に立ちます。このファイルがない場合でも、まだこの手順を使用してその信頼を手動で設定できます。
**アプリケーションカタログからアプリケーションを追加および設定するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. [**カスタマーマネージド**] タブを選択します。
1. **[アプリケーションの追加]** を選択します。
1. [**アプリケーションタイプを選択**] ページの [**セットアッププリファレンス**] で、[**カタログからアプリケーションを選択したい**] を選択します。
1. **[アプリケーションカタログ]** で、追加するアプリケーションの名前を検索ボックスに入力し始めます。
1. 検索結果に表示されたら、一覧からアプリケーションの名前を選択し、**[次へ]** を選択します。
1. [**アプリケーションを設定**] ページの [**表示名**] と [**説明**] フィールドには、アプリケーションに関連する詳細があらかじめ入力されています。この情報は編集することができます。
1. 「**IAM Identity Center**」で、以下の作業を行います。
1. **IAM Identity Center SAML メタデータファイル**の横にある [**ダウンロード**] を選択して、ID プロバイダーのメタデータをダウンロードします。
1. [**IAM Identity Center 証明書**] の横にある [**証明書のダウンロード**] を選択して、ID プロバイダーの証明書をダウンロードします。
**注記**
後で、サービスプロバイダーのウェブサイトからアプリケーションを設定するときに、これらのファイルが必要になります。そのプロバイダーからの手順に従います。
1. (オプション) [**アプリケーションプロパティ**] の下で、[**アプリケーション開始 URL**]、[**リレー状態**]、[**セッション期間**] を指定できます。詳細については、「[IAM アイデンティティセンターコンソールのアプリケーションプロパティを理解する](appproperties.md)」を参照してください。
1. **[Application metadata]** (アプリケーションメタデータ) で、以下のいずれかを行います。
1. メタデータファイルがある場合は、[**アプリケーション SAML メタデータファイルをアップロードする**] を選択します。次に、**[ファイルを選択]** を選択してメタデータファイルを検索して選択します。
1. メタデータファイルがない場合は、**[メタデータ値を手動で入力する]** のリンクをクリックして、**[アプリケーション ACS URL]** および **[アプリケーション SAML 対象者]** の値を指定します。
1. [**Submit**] を選択してください。追加したアプリケーションの詳細ページが表示されます。
# 独自の SAML 2.0 アプリケーションをセットアップする
SAML 2.0 を使用した ID フェデレーションを可能にする独自のアプリケーションを設定し、それらを IAM アイデンティティセンターに追加できます。独自の SAML 2.0 アプリケーションを設定する手順のほとんどは、IAM アイデンティティセンターコンソールのアプリケーションカタログから SAML 2.0 アプリケーションを設定するのと同じです。ただし、独自の SAML 2.0 アプリケーションのために、追加の SAML 属性マッピングを提供する必要があります。これらのマッピングは、IAM アイデンティティセンターがアプリケーションに対して SAML 2.0 アサーションを正しく追加できるようにします。アプリケーションを初めて設定するときに、この SAML 属性マッピングを追加できます。また、IAM アイデンティティセンターコンソールのアプリケーションの詳細ページでも、SAML 2.0 属性マッピングを追加できます。
以下の手順を使用して、IAM アイデンティティセンターと SAML 2.0 アプリケーションのサービスプロバイダーとの間で SAML 2.0 の信頼関係を設定します。この手順を開始する前に、信頼をより効率的に設定できるように、サービスプロバイダーの証明書とメタデータエクスチェンジファイルがあることを確認してください。
**独自の SAML 2.0 アプリケーションを設定するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. [**カスタマーマネージド**] タブを選択します。
1. **[アプリケーションの追加]** を選択します。
1. [**アプリケーションタイプを選択**] ページの [**セットアッププリファレンス**] で、[**セットアップしたいアプリケーションがある**] を選択します。
1. [**アプリケーションタイプ**] で、[**SAML 2.0**] を選択します。
1. [**次へ**] を選択します。
1. **[アプリケーションの設定]** ページの **[アプリケーションの設定]** で、**MyApp** のようにアプリケーションの **[表示名]** を入力します。[**Description**] を入力します。
1. 「**IAM Identity Center**」で、以下の作業を行います。
1. **IAM Identity Center SAML メタデータファイル**の横にある [**ダウンロード**] を選択して、ID プロバイダーのメタデータをダウンロードします。
1. [**IAM アイデンティティセンターの証明書**] で、[**ダウンロード**] を選択して、ID プロバイダーの証明書をダウンロードします。
**注記**
後で、サービスプロバイダーのウェブサイトからカスタムアプリケーションを設定するときに、これらのファイルが必要になります。
1. (オプション) [**アプリケーションプロパティ**] の下で、[**アプリケーション開始 URL**]、[**リレー状態**]、[**セッション期間**] も指定できます。詳細については、「[IAM アイデンティティセンターコンソールのアプリケーションプロパティを理解する](appproperties.md)」を参照してください。
1. **[アプリケーションメタデータ]** で **[メタデータの値を手動で入力]** を選択します。次に、[**アプリケーション ACS URL**] および [**アプリケーション SAML 対象者**] の値を指定します。
1. [**Submit**] を選択してください。追加したアプリケーションの詳細ページが表示されます。
# 信頼できる ID の伝播の概要
信頼できる ID の伝播は、IAM アイデンティティセンターの機能であり、 の管理者がグループの関連付けなどのユーザー属性に基づいてアクセス許可 AWS のサービス を付与できるようにします。信頼できる ID 伝達では、アイデンティティコンテキストが IAM ロールに追加され、 AWS リソースへのアクセスをリクエストしているユーザーを識別します。このコンテキストは他の に伝達されます AWS のサービス。
ID コンテキストは、 がアクセスリクエストを受信したときに認可の決定を行うために AWS のサービス 使用する情報で構成されます。この情報には、リクエスタ (IAM Identity Center ユーザーなど)、アクセスがリクエスト AWS のサービス される (Amazon Redshift など)、アクセス範囲 (読み取り専用アクセスなど) を識別するメタデータが含まれます。受信側 AWS のサービス は、このコンテキストとユーザーに割り当てられたアクセス許可を使用して、リソースへのアクセスを承認します。
## 信頼できる ID の伝播の利点
信頼できる ID の伝播により、 の管理者は、ワークフォースの企業 ID を使用して、データなどのリソースにアクセス許可 AWS のサービス を付与できます。さらに、サービスログまたは を確認することで、誰がどのデータにアクセスしたかを監査できます AWS CloudTrail。IAM アイデンティティセンター管理者の場合、信頼できる ID の伝播を有効にするように他の AWS のサービス 管理者から求められることがあります。
## 信頼できる ID の伝播の有効化
信頼できる ID の伝播を有効にするプロセスには、次の 2 つのステップが含まれます。
1. **IAM アイデンティティセンターを有効にし、既存の ID ソースを IAM アイデンティティセンターに接続する** - 既存の ID ソースでワークフォース ID を引き続き管理します。IAM アイデンティティセンターに接続すると、ユースケース AWS のサービス 内のすべての が共有できるワークフォースへの参照が作成されます。また、データ所有者が将来のユースケースで使用できるようになります。
1. **ユースケース AWS のサービス の を IAM Identity Center に接続する** - 信頼できる ID 伝達ユースケース AWS のサービス の各 の管理者は、それぞれのサービスドキュメントのガイダンスに従って、サービスを IAM Identity Center に接続します。
**注記**
ユースケースに*サードパーティー*または*お客様が開発したアプリケーション*が含まれる場合は、アプリケーションユーザーと IAM アイデンティティセンターを認証する ID プロバイダー間の信頼関係を設定することで、信頼できる ID の伝播を有効にします。これにより、アプリケーションは前述の信頼できる ID の伝播フローを活用できます。
詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
## 信頼できる ID の伝播の仕組み
次の図は、信頼できる ID の伝播の大まかなワークフローを示しています。
![\[信頼できる ID の伝播ワークフローを簡素化しました。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. ユーザーは、クイックなど、クライアント向けアプリケーションで認証します。
1. クライアント向けアプリケーションは、 を使用してデータをクエリするためのアクセス AWS のサービス をリクエストし、ユーザーに関する情報を含めます。
**注記**
信頼できる ID 伝達のユースケースには、サービスドライバー AWS のサービス を使用して とやり取りするツールが含まれます。これがユースケースに適用されるかどうかは、[ユースケースガイダンス](trustedidentitypropagation-integrations.md)で確認できます。
1. は、IAM Identity Center AWS のサービス でユーザー ID を検証し、グループの関連付けなどのユーザー属性とアクセスに必要なユーザー属性を比較します。は、ユーザーまたはそのグループに必要なアクセス許可がある限り、アクセス AWS のサービス を許可します。
1. AWS のサービス は、 AWS CloudTrail および のサービスログにユーザー識別子をログに記録する場合があります。詳細については、サービスのドキュメントを確認してください。
次の図は、信頼できる ID の伝播ワークフローで前述したステップの概要を示しています。
![\[信頼できる ID の伝播ワークフローを簡素化しました。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [信頼できる ID の伝播の利点](#benefits-trusted-identity-propagation)
+ [信頼できる ID の伝播の有効化](#enabling-tip)
+ [信頼できる ID の伝播の仕組み](#how-tip-works)
+ [前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)
+ [信頼できる ID の伝播のユースケース](trustedidentitypropagation-integrations.md)
+ [認可サービス](authorization-services.md)
# 前提条件と考慮事項
信頼できる ID の伝播を設定する前に、以下の前提条件と考慮事項を確認してください。
**Topics**
+ [前提条件](#trustedidentitypropagation-prerequisites)
+ [考慮事項](#trustedidentitypropagation-considerations)
+ [カスタマーマネージドアプリケーションの考慮事項](#trustedidentitypropagation-customer-apps)
## 前提条件
信頼できる ID の伝播を使用するには、環境が以下の前提条件を満たしていることを確認してください。
+ IAM アイデンティティセンターを有効にしてプロビジョニングする
+ 信頼できる ID 伝達を使用するには、ユーザーがアクセスする AWS アプリケーションとサービスが有効になっているのと同じ AWS リージョン で IAM Identity Center を有効にする必要があります。詳細については、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。
+ IAM アイデンティティセンター組織インスタンス推奨 — AWS Organizationsの管理アカウントで有効にする IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)を使用することをお勧めします。IAM アイデンティティセンターの組織インスタンスの管理をメンバーアカウントに[委任](organization-instances-identity-center.md)できます。IAM アイデンティティセンターの[アカウントインスタンス](account-instances-identity-center.md)を選択する場合、信頼できる ID の伝播を使用してユーザーにアクセスさせるものはすべての AWS のサービス は、IAM アイデンティティセンターを有効にするのと同じ AWS アカウント に存在する必要があります。詳細については、「[IAM アイデンティティセンターのアカウントインスタンス](account-instances-identity-center.md)」を参照してください。
+ 既存の ID プロバイダーを IAM アイデンティティセンターに接続し、ユーザーとグループを IAM アイデンティティセンターにプロビジョニングします。詳細については、「[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)」を参照してください。
+ 信頼できる ID 伝達ユースケースの AWS マネージドアプリケーションとサービスを IAM アイデンティティセンターに接続します。信頼できる ID 伝達を使用するには、 AWS マネージドアプリケーションを IAM アイデンティティセンターに接続する必要があります。
## 考慮事項
信頼できる ID の伝播を設定し使用するときは、次の考慮事項に留意してください。
+ **IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス**
+ IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)は、ユースケースを複数の AWS アカウント、ユーザー、および AWS のサービスに拡張するための最も制御性と柔軟性を提供します。組織インスタンスを使用できない場合は、IAM アイデンティティセンター のアカウントインスタンスでユースケースがサポートされている可能性があります。 AWS のサービス IAM アイデンティティセンターのアカウントインスタンスをサポートするユースケースの詳細については、「[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)」を参照してください。
+ **マルチアカウント許可 (アクセス許可セット) は不要です**
+ 信頼できる ID の伝播では、[マルチアカウント許可](manage-your-accounts.md) (アクセス許可セット) を設定する必要はありません。IAM アイデンティティセンターを有効にして、信頼できる ID の伝播にのみ使用できます。
## カスタマーマネージドアプリケーションの考慮事項
例えば、 Tableauやカスタム開発アプリケーションによって管理されていないクライアント向けアプリケーションをユーザーが操作した場合でも AWS、ワークフォースは信頼できる ID の伝播からメリットを得ることができます。これらのアプリケーションのユーザーは、IAM アイデンティティセンター でプロビジョニングされない場合があります。IAM Identity Center では、 AWS リソースへのユーザーアクセスをスムーズに認識および承認できるように、ユーザーを認証する ID プロバイダーと IAM Identity Center の間の信頼関係を設定できます。詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
さらに、アプリケーションの信頼できる ID の伝播を設定するには、以下が必要です。
+ アプリケーションは認証に OAuth 2.0 フレームワークを使用する必要があります。信頼できる ID の伝播は SAML 2.0 統合をサポートしていません。
+ アプリケーションは IAM アイデンティティセンターによって認識される必要があります。[ユースケース](trustedidentitypropagation-integrations.md)に固有のガイダンスに従ってください。
# 信頼できる ID の伝播のユースケース
IAM アイデンティティセンター管理者は、ユーザー向けアプリケーションから AWS のサービスへの信頼できる ID の伝播の設定を支援するように求められる場合があります。このリクエストをサポートするには、次の情報が必要です。
+ ユーザーはどのクライアント向けアプリケーションとインターフェイスしますか?
+ データのクエリとデータへのアクセスの認可に使用されるの AWS のサービス はどれですか?
+ どの がデータへのアクセス AWS のサービス を許可しますか?
**サードパーティーアプリケーションやカスタム開発アプリケーションを含まない信頼できる ID の伝播のユースケース**を有効にする役割は次のとおりです。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。
1. [既存の ID ソースを IAM アイデンティティセンターに接続します](tutorials.md)。
これらのユースケースの信頼できる ID 設定の残りのステップは、接続された AWS のサービス およびアプリケーション内で実行されます。接続された AWS のサービス またはアプリケーションの管理者は、サービス固有の包括的なガイダンスについて、それぞれのユーザーガイドを参照してください。
**サードパーティーアプリケーションまたはカスタム開発アプリケーションを含む信頼できる ID の伝播のユースケース**を有効にするためのロールには、[IAM Identity Center を有効にする](enable-identity-center.md) の手順と ID の[ソースを接続する](tutorials.md) 手順のほかに、以下が含まれます。
1. ID プロバイダー (IdP) のサードパーティーまたはカスタム開発アプリケーションへの接続を設定します。
1. IAM アイデンティティセンターを有効にして、サードパーティーまたはカスタム開発アプリケーションを認識します。
1. IAM アイデンティティセンターで信頼できるトークン発行者として IdP を設定する。詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
接続されたアプリケーションの管理者は、サービス固有の包括的なガイダンスについては、それぞれのユーザーガイド AWS のサービス を参照してください。
## 分析、データレイクハウス、機械学習のユースケース
次の分析および機械学習サービスを使用して、信頼できる伝播のユースケースを有効にできます。
+ **Amazon Redshift** - ガイダンスについては、「[Amazon Redshift で信頼できる ID の伝播](tip-usecase-redshift.md)」を参照してください。
+ **Amazon EMR** - ガイダンスについては、「[Amazon EMR による信頼できる ID の伝播](tip-usecase-emr.md)」を参照してください。
+ **Amazon Athena** - ガイダンスについては、「[Amazon Athena による信頼できる ID の伝播](tip-usecase-ate.md)」を参照してください。
+ **SageMaker Studio** - ガイダンスについては、「[Amazon SageMaker Studio による信頼できる ID の伝播](trusted-identity-propagation-usecase-sagemaker-studio.md)」を参照してください。
## その他のユースケース
IAM アイデンティティセンターと信頼できる ID の伝播は、次の追加 AWS のサービスを使用して有効にできます。
+ **Amazon Q Business** - ガイダンスについては、以下を参照してください。
+ [IAM アイデンティティセンターを使用したアプリケーションの管理ワークフロー](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc)。
+ [IAM アイデンティティセンターを使用した Amazon Q Business アプリケーションの設定](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html)。
+ [IAM アイデンティティセンターの信頼できる ID の伝播を使用して Amazon Q Business を設定します](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/)。
+ **Amazon OpenSearch Service** - ガイダンスについては、以下を参照してください。
+ [IAM Identity Center Trusted Identity Propagation Support for Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html)。
+ [Centralized OpenSearch user interface (Dashboards) with Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html)。
+ **AWS Transfer Family** - ガイダンスについては、以下を参照してください。
+ [Transfer Family ウェブアプリ](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html)。
**Topics**
+ [分析、データレイクハウス、機械学習のユースケース](#tip-data-analytic-usecases-overview)
+ [その他のユースケース](#tip-additional-usecases)
+ [Amazon Redshift で信頼できる ID の伝播](tip-usecase-redshift.md)
+ [Amazon EMR による信頼できる ID の伝播](tip-usecase-emr.md)
+ [Amazon Athena による信頼できる ID の伝播](tip-usecase-ate.md)
+ [Amazon SageMaker Studio による信頼できる ID の伝播](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Amazon Redshift で信頼できる ID の伝播
信頼できる ID の伝播を有効にする手順は、ユーザーが AWS マネージドアプリケーションとやり取りするか、カスタマーマネージドアプリケーションとやり取りするかによって異なります。次の図は、Amazon Redshift AWS または や Amazon AWS Lake Formation Amazon S3 などの認可サービスによって提供されるアクセスコントロールを使用して Amazon Redshift データをクエリ AWS する、クライアント向けアプリケーションの信頼できる ID 伝達設定を示していますAccess Grants。
![\[Amazon Redshift、Quick、Lake Formation、IAM Identity Center を使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/rs-tip-diagram.png)
Amazon Redshift への信頼できる ID の伝播が有効になっている場合、Redshift 管理者は、ID プロバイダーとして IAM アイデンティティセンターの[ロールを自動的に作成](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html)し、Redshift ロールを IAM アイデンティティセンターのグループにマッピングし、[Redshift ロールベースのアクセスコントロールを使用してアクセスを許可する](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)ように Redshift を設定できます。
## サポートされているクライアント向けアプリケーション
**AWS マネージドアプリケーション**
以下の AWS マネージドクライアント向けアプリケーションは、Amazon Redshift への信頼できる ID の伝播をサポートしています。
+ [Amazon RedshiftQuery Editor V2](setting-up-tip-redshift.md)
+ [クイック](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**注記**
Amazon Redshift Spectrum を使用して AWS Glue Data Catalogの外部データベースまたはテーブルにアクセスする場合は、きめ細かなアクセスコントロールを提供するように [Lake Formation](tip-tutorial-lf.md) と [Amazon S3 Access Grants](tip-tutorial-s3.md) を設定することを検討してください。
**カスタマーマネージドアプリケーション**
次のカスタマーマネージドアプリケーションは、Amazon Redshift への信頼できる ID の伝播をサポートしています。
+ **Tableau** TableauDesktop、 Tableau Server、および Tableau Prep を含む
+ Tableau のユーザーに対して信頼できる ID の伝播を有効にするには、「*AWS ビッグデータブログ*」の「[IAM アイデンティティセンターを使用した Tableau および Okta と Amazon Redshift の統合](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/)」を参照してください。
+ **SQL クライアント** (DBeaver および DBVisualizer)
+ SQL クライアント (DBeaver および DBVisualizer) のユーザーに対して信頼できる ID の伝播を有効にするには、 「*AWS ビッグデータブログ*」の「[Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)」を参照してください。
# Amazon Redshift Query Editor V2 で信頼できる ID の伝播を設定する
次の手順では、Amazon Redshift Query Editor V2 から Amazon Redshift への信頼できる ID の伝播を実現する方法について説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
信頼できる ID 伝播を有効にするには、IAM アイデンティティセンターコンソールで IAM アイデンティティセンターコンソール 管理者が実行するタスクと、Amazon Redshift コンソールで Amazon Redshift 管理者が実行するタスクが含まれます。
## IAM アイデンティティセンター管理者が実行するタスク
IAM アイデンティティセンター管理者が次のタスクを完了する必要があります。
1. Amazon Redshift クラスターまたは Serverless インスタンスが存在するアカウントに、次のアクセス許可ポリシーを使用して **[IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)を作成します**。詳細については、「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。
1. 次のポリシーの例には、このチュートリアルを完了するために必要なアクセス許可が含まれています。このポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
**アクセス許可ポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**信頼ポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. IAM アイデンティティセンターが有効になっている AWS Organizations 管理アカウントに**許可セットを作成します**。次のステップでこれを使用して、フェデレーティッドユーザーが Redshift クエリエディタ V2 にアクセスできるようにします。
1. **IAM アイデンティティセンター**コンソールに移動し、** [マルチアカウント許可]** で、**[アクセス許可セット]** を選択します。
1. **[Create permission set]** (アクセス許可セットの作成) を選択します。
1. **[カスタムアクセス許可セット]** を選択し、**[次へ]** を選択します。
1. **[AWS 管理ポリシー]** で、**`AmazonRedshiftQueryEditorV2ReadSharing`** を選択します。
1. **[インラインポリシー]** で、次のポリシーを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. **[次へ]** を選択し、アクセス許可セット名の名前を指定します。例えば、**Redshift-Query-Editor-V2**。
1. **[リレー状態 – オプション]** で、`https://your-region.console.aws.amazon.com/sqlworkbench/home` の形式を使用して、デフォルトのリレー状態をクエリエディタ V2 URL に設定します。
1. 設定を確認し、[**作成**] を選択します。
1. IAM アイデンティティセンターダッシュボードに移動し、**[概要の設定]** セクションから AWS アクセスポータル URL をコピーします。
![\[ステップ i、IAM Identity Center コンソールから AWS アクセスポータル URL をコピーします。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. 新しいシークレットブラウザウィンドウを開き、URL を貼り付けます。
これにより、 AWS アクセスポータルに移動し、IAM Identity Center ユーザーでサインインしていることを確認できます。
![\[ステップ j、ポータルにアクセスするためにサインイン AWS します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
アクセス許可セットの詳細については、「[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md)」を参照してください。
1. **Redshift クエリエディタ V2 へのフェデレーティッドユーザーのアクセスを有効にします**。
1. AWS Organizations 管理アカウントで、**IAM Identity Center** コンソールを開きます。
1. ナビゲーションペインの [**マルチアカウント権限**] で、**AWS アカウント** を選択します。
1. AWS アカウント ページで、アクセスを割り当てる AWS アカウント を選択します。
1. 「**ユーザーまたはグループを割り当て**」を選択します。
1. **[ユーザーとグループの割り当て]** ページで、アクセス許可セットを作成するユーザーまたはグループを選択します。その後、**[Next]** を選択します。
1. **[アクセス許可セットの割り当て]** ページで、前のステップで作成したアクセス許可セットを選択します。その後、**[Next]** を選択します。
1. **[割り当てを確認と送信]** ページで選択内容を確認し、**[送信]** を選択します。
## Amazon Redshift 管理者が実行するタスク
Amazon Redshift への信頼できる ID の伝播を有効にするには、Amazon Redshift クラスター管理者または Amazon Redshift Serverless 管理者が Amazon Redshift コンソールで多数のタスクを実行する必要があります。詳細については、 *AWS ビッグデータブログ*の[「Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)」を参照してください。
# Amazon EMR による信頼できる ID の伝播
次の図は、 AWS Lake Formation と Amazon S3 が提供するアクセスコントロールを備えた Amazon EC2 上の Amazon EMR を使用した Amazon EMR Studio の信頼できる ID 伝達設定を示していますAccess Grants。 Amazon S3
![\[Amazon EMR、Lake Formation、IAM Identity Center を使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**サポートされているクライアント向けアプリケーション**
+ Amazon EMR Studio
**信頼できる ID の伝播を有効にするには、次の手順に従います。**
+ Amazon EMR クラスターのクライアント向けアプリケーションとして [Amazon EMR Studio](setting-up-tip-emr.md) をセットアップします。
+ [Apache Spark を使用して Amazon EC2 で Amazon EMR クラスター](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html)をセットアップします。
+ *推奨*: [AWS Lake Formation](tip-tutorial-lf.md)と [Amazon S3 Access Grants](tip-tutorial-s3.md) は、S3 内の AWS Glue Data Catalog および基盤となるデータロケーションへのきめ細かなアクセスコントロールを提供します。
# Amazon EMR Studio で信頼できる ID の伝播を設定する
次の手順では、Apache Spark を実行している Amazon Athena ワークグループまたは Amazon EMR クラスターに対するクエリで、信頼できる ID の伝播用に Amazon EMR Studio を設定する方法について説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
Amazon EMR Studio からの信頼できる ID 伝播の設定を完了するには、EMR Studio 管理者が次のステップを実行する必要があります。
## ステップ 1. EMR Studio に必要な IAM ロールを作成する
このステップでは、Amazon EMR Studio 管理者は と IAM サービスロール、および EMR Studio の IAM ユーザーロールを作成します。
1. **[EMR Studio サービスロールを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** - EMR Studio はこの IAM ロールを引き受けて、ワークスペースとノートブックを安全に管理し、クラスターに接続し、データインタラクションを処理します。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に移動し、IAM ロールを作成します。
1. **AWS のサービス** を信頼されたエンティティとして選択し、**Amazon EMR** を選択します。次のポリシーをアタッチして、ロールのアクセス許可と信頼関係を定義します。
これのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
すべてのサービスロールのアクセス許可のリファレンスについては、「[EMR Studio サービスロールのアクセス許可](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)」を参照してください。
1. **[IAM アイデンティティセンター認証用の EMR Studio ユーザーロールを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - EMR Studio は、ユーザーが IAM アイデンティティセンターを通じてサインインしてワークスペース、EMR クラスター、ジョブ、git リポジトリを管理するときに、このロールを引き受けます。**このロールは、信頼できる ID の伝播ワークフローを開始するために使用されます**。
**注記**
EMR Studio ユーザーロールには、 AWS Glue Catalog. AWS Lake Formation permissions のテーブルの Amazon S3 ロケーションにアクセスするためのアクセス許可を含める必要はありません。登録されたレイクロケーションは、一時的なアクセス許可を受け取るために使用されます。
次のポリシー例は、EMR Studio のユーザーが Athena ワークグループを使用してクエリを実行できるようにするロールで使用できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
次の信頼ポリシーは、EMR Studio がロールを引き受けることを許可します。
**注記**
EMR Studio WorkSpaces と EMR Notebooks を利用するには、追加のアクセス許可が必要です。詳細については、「[EMR Studio ユーザーのアクセス許可ポリシーを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies)」を参照してください。
**詳細については、次のリンクを参照してください。**
+ [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [EMR Studio サービスロールのアクセス許可](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## ステップ 2. EMR Studio を作成および設定する
このステップでは、EMR Studio コンソールで Amazon EMR Studio を作成し、[ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成した IAM ロールを使用します。
1. EMR Studio コンソールに移動し、**[Studio の作成]** と **[カスタムセットアップ]** オプションを選択します。新しいバケットを作成するか、既存の S3 バケットを使用します。このチェックボックスをオンにすると、**独自の KMS キーを使用してワークスペースファイルを暗号化できます**。詳細については、「[AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)」を参照してください。
![\[ステップ 1 EMR コンソールに EMR Studio を作成する。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. **[Studio がリソースにアクセスできるようにするサービスロール]**で、メニューから [ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成したサービスロールを選択します。
1. **[認証]** の下にある **[IAM アイデンティティセンター]** を選択します。[ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成されたユーザーロールを選択します。
![\[ステップ 3 EMR コンソールで EMR Studio を作成し、認証方法として IAM アイデンティティセンターを選択します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. **[信頼できる ID の伝播]** チェックボックスをオンにします。[アプリケーションアクセス] セクションで **[割り当てられたユーザーとグループのみ]** を選択します。これにより、このスタジオへのアクセスを許可されたユーザーとグループのみに許可できます。
1. *(オプション)* - EMR クラスターでこの Studio を使用している場合は、VPC とサブネットを設定できます。
![\[ステップ 4 EMR コンソールで EMR Studio を作成し、ネットワークとセキュリティの設定を選択します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. すべての詳細を確認し、**[Studio を作成]**を選択します。
1. Athena WorkGroup または EMR クラスターを設定したら、Studio の URL にサインインして次の操作を行います。
1. クエリエディタを使用して Athena クエリを実行します。
1. Jupyter ノートブックを使用してワークスペースで Spark ジョブを実行します。
# Amazon Athena による信頼できる ID の伝播
信頼できる ID の伝播を有効にする手順は、ユーザーが AWS マネージドアプリケーションとやり取りするか、カスタマーマネージドアプリケーションとやり取りするかによって異なります。次の図は、Amazon Athena を使用して、 と Amazon S3 が提供するアクセスコントロールを使用して Amazon S3 データをクエリ AWS AWS する、クライアント向けアプリケーションの信頼できる ID 伝達設定を示していますAmazon S3Access Grants。 AWS Lake Formation
**注記**
Amazon Athena での信頼できる ID の伝播には Trino を使用する必要があります。
ODBC および JDBC ドライバーを介して Amazon Athena に接続された Apache Spark および SQL クライアントはサポートされていません。
![\[Athena、Amazon EMR、Lake Formation、IAM アイデンティティセンターを使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS マネージドアプリケーション**
次の AWS マネージドクライアント向けアプリケーションは、Athena での信頼できる ID の伝播をサポートしています。
+ Amazon EMR Studio
**信頼できる ID の伝播を有効にするには、次の手順に従います。**
+ [Amazon EMR Studio](setting-up-tip-emr.md)を Athena のクライアント向けアプリケーションとしてセットアップします。信頼できる ID の伝播が有効になっている場合、Athena クエリを実行するには、EMR Studio のクエリエディタが必要です。
+ [Athena ワークグループをセットアップします](setting-up-tip-ate.md)。
+ IAM アイデンティティセンターのユーザーまたはグループに基づいて、 AWS Glue テーブルのきめ細かなアクセスコントロールを有効にするように [を設定します AWS Lake Formation](tip-tutorial-lf.md)。
+ [Amazon S3 Access Grants をセットアップ](tip-tutorial-s3.md)して、S3 の基盤となるデータロケーションへの一時的なアクセスを有効にします。
**注記**
Lake Formation と Amazon S3 Access Grantsはどちらも、Amazon S3 での Athena クエリ結果へのアクセスコントロール AWS Glue Data Catalog と Athena クエリ結果に必要です。 Amazon S3
**カスタマーマネージドアプリケーション**
*カスタム開発アプリケーションのユーザーに対して信頼できる ID 伝達を有効にするには、「 セキュリティブログ」の*[「」を参照して、信頼できる ID 伝達を使用して AWS のサービス プログラムで にアクセスします](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/)。 *AWS *
# Amazon Athena ワークグループによる信頼できる ID 伝播の設定
次の手順では、信頼できる ID の伝播用に Amazon Athena ワークグループを設定する手順を説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
1. この設定には、[Amazon EMR Studio](setting-up-tip-emr.md)、[AWS Lake Formation](tip-tutorial-lf.md)、および [Amazon S3 Access Grants](tip-tutorial-s3.md) が必要です。
## Athena による信頼できる ID の伝播の設定
Athena で信頼できる ID の伝播を設定するには、Athena 管理者が以下を行う必要があります。
1. [IAM アイデンティティセンターが有効な Athena ワークグループを使用する際の考慮事項と制限事項](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations)を確認します。
1. [IAM アイデンティティセンターが有効な Athena ワークグループを作成します](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup)。
# Amazon SageMaker Studio による信頼できる ID の伝播
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) は IAM アイデンティティセンターと統合され、[ユーザーバックグラウンドセッション](user-background-sessions.md)と信頼できる ID の伝播をサポートします。ユーザーバックグラウンドセッションを使用すると、ユーザーは SageMaker Studio で長時間実行されるジョブを開始できます。ジョブの実行中にサインインしたままにする必要はありません。ジョブは、ジョブを開始したユーザーのアクセス許可を使用して、すぐにバックグラウンドで実行されます。ユーザーがコンピュータをオフにした場合、IAM Identity Center のサインインセッションの有効期限が切れた場合、またはユーザーが AWS アクセスポータルからサインアウトした場合でも、ジョブは引き続き実行できます。ユーザーバックグラウンドセッションのデフォルトのセッション期間は 7 日間ですが、最大期間として 90 日間を指定できます。信頼できる ID 伝播により、ユーザーの ID またはグループメンバーシップに基づいて Amazon S3 バケットなどの AWS リソースにきめ細かなアクセスを提供できます。
次の図は、Amazon S3 バケットに保存されているデータにアクセスできる SageMaker Studio の信頼できる ID の伝播設定を示しています。ユーザーバックグラウンドセッションは IAM アイデンティティセンター で有効になっており、SageMaker Studio トレーニングジョブをバックグラウンドで実行できます。トレーニングデータのアクセスコントロールは、Amazon S3 Access Grants によって提供されます。
![\[ユーザーバックグラウンドセッションで実行される SageMaker Studio トレーニングジョブと、Amazon S3 Access Grants が提供する Amazon S3 のトレーニングデータへのアクセスを含む、SageMaker Studio の信頼できる ID 伝播の図。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS マネージドアプリケーション**
次の AWS マネージドクライアント向けアプリケーションは、信頼できる ID の伝播をサポートしています。
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**信頼できる ID の伝播とユーザーバックグラウンドセッションを有効にするには、次の手順に従います。**
+ [SageMaker Studio をクライアント向けアプリケーションとしてセットアップします。](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Amazon S3 Access Grants をセットアップ](tip-tutorial-s3.md)して、Amazon S3 の基盤となるデータロケーションへの一時的なアクセスを有効にします。
# Sagemaker Studio で信頼できる ID 伝播を設定する
次の手順では、信頼できる ID の伝播とユーザーバックグラウンドセッション用に SageMaker Studio を設定する手順を説明します。
## 前提条件
このチュートリアルを開始する前に、まず以下のタスクを完了する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。組織インスタンスが必要です。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
1. IAM アイデンティティセンターコンソールで[ユーザーバックグラウンドセッションが有効になっていることを確認します](user-background-sessions.md)。デフォルトでは、ユーザー背景セッションは有効になっており、セッション期間は 7 日間に設定されています。この期間は、変更することができます。
SageMaker Studio から信頼できる ID の伝播を設定するには、SageMaker Studio 管理者が次のステップを実行する必要があります。
## ステップ 1: 新規または既存の SageMaker Studio ドメインで信頼できる ID の伝播を有効にする
SageMaker はドメインを使用して、ユーザープロファイル、アプリケーション、関連するリソースを整理します。信頼できる ID の伝播を有効にするには、次の手順で説明するように、SageMaker Studio ドメインを作成するか、既存のドメインを変更する必要があります。
1. SageMaker AI コンソールを開き、**[ドメイン]**に移動して、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用して、新しい SageMaker Studio ドメインを作成します。**
**[組織向けのセットアップ]**を選択し、次の操作を行います。
+ 認証方法として **AWS アイデンティティセンター** を選択します。
+ **[このドメインですべてのユーザーの信頼できる ID 伝播を有効にする]** チェックボックスをオンにします。
+ **既存の SageMaker Studio ドメインを変更します。**
+ 認証に IAM アイデンティティセンターを使用する既存のドメインを選択します。
**重要**
信頼できる ID の伝播は、認証に IAM アイデンティティセンターを使用する SageMaker Studio ドメインでのみサポートされます。ドメインが認証に IAM を使用している場合、認証方法を変更することはできないため、信頼できる ID の伝播を有効にすることはできません。
+ [ドメイン設定を編集します](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit)。**[認証とアクセス許可]** の設定を編集して、信頼できる ID の伝播を有効にします。
1. [ステップ 2: デフォルトのドメイン実行ロールを設定する](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role)に進みます。このロールは、SageMaker Studio ドメインのユーザーが Amazon S3 などの他の AWS サービスにアクセスするために必要です。
## ステップ 2: デフォルトのドメイン実行ロールとロール信頼ポリシーを設定する
*ドメイン実行ロール*は、SageMaker Studio ドメインがドメイン内のすべてのユーザーに代わって引き受ける [IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles)です。このロールに割り当てるアクセス許可によって、SageMaker Studio が実行できるアクションが決まります。
1. ドメイン実行ロールを作成または選択するには、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用してロールを作成または選択します。**
+ SageMaker AI コンソールを開き、**「ステップ 2: ロールと ML アクティビティを設定**して新しいドメイン実行ロールを作成するか、既存のロールを選択する」のコンソールガイダンスに従います。
+ 残りのセットアップステップを完了して、SageMaker Studio ドメインを作成します。
+ **実行ロールを手動で作成します。**
+ IAM コンソールを開き、[実行ロールを自分で作成します](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role)。
1. ドメイン実行ロールにアタッチされている[信頼ポリシーを更新](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)して、[https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) と [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html) の 2 つのアクションを含めます。SageMaker Studio ドメインの実行ロールを検索する方法については、「[ドメイン実行ロールを取得する](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain)」を参照してください。
*信頼ポリシー*は、ロールを引き受けることができる ID を指定します。このポリシーは、SageMaker Studio サービスがドメイン実行ロールを引き受けられるようにするために必要です。これら 2 つのアクションを追加して、ポリシーに次のように表示されるようにします。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## ステップ 3: ドメイン実行ロールに必要な Amazon S3 Access Grant アクセス許可を検証する
Amazon S3 Access Grants を使用するには、以下のアクセス許可を含むアクセス許可ポリシーを (インラインポリシーまたはカスタマー管理ポリシーとして) SageMaker Studio ドメイン実行ロールにアタッチする必要があります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
これらのアクセス許可を含むポリシーがない場合は、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ID アクセス許可の追加と削除](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」の手順に従います。
## ステップ 4: グループとユーザーをドメインに割り当てる
「[グループとユーザーを追加する](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html)」の手順に従って、グループとユーザーを SageMaker Studio ドメインに割り当てます。
## ステップ 5: Amazon S3 Access Grants を設定する
Amazon S3 Access Grants を設定するには、[「IAM アイデンティティセンターを介した信頼できる ID 伝播のための Amazon S3 Access Grants の設定](tip-tutorial-s3.md#tip-tutorial-s3-configure)」のステップに従います。ステップバイステップの手順を使用して、以下のタスクを完了します。
1. Amazon S3 Access Grants インスタンスを作成します。
1. そのインスタンスにロケーションを登録します。
1. 特定の IAM アイデンティティセンターユーザーまたはグループが、指定された Amazon S3 ロケーションまたはそれらのロケーション内のサブセット (特定のプレフィックスなど) にアクセスできるようにする権限を作成します。
## ステップ 6: SageMaker トレーニングジョブを送信し、ユーザーバックグラウンドセッションの詳細を表示する
SageMaker Studio で、新しい Jupyter Notebook を起動し、トレーニングジョブを送信します。ジョブの実行中に、次の手順を実行してセッション情報を表示し、ユーザーのバックグラウンドセッションコンテキストがアクティブであることを確認します。
1. IAM Identity Center コンソール を開きます。
1. **ユーザー** を選択します。
1. **[ユーザー]** ページで、セッションを管理したいユーザーのユーザー名を選択します。これにより、ユーザーの情報が表示されるページに移動します。
1. ユーザーのページで、**[アクティブセッション]** タブを選択します。**[アクティブセッション]** の横の括弧内の数字は、このユーザーのアクティブセッション数を示します。
1. セッションを使用しているジョブの Amazon リソースネーム (ARN) でセッションを検索するには、**[セッションタイプ]** リストで **[ユーザーバックグラウンドセッション]** を選択し、検索ボックスにジョブ ARN を入力します。
以下は、ユーザーバックグラウンドセッションを使用しているトレーニングジョブがユーザーの **[アクティブセッション]** タブにどのように表示されるかの例です。
![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## ステップ 7: CloudTrail ログを表示して CloudTrail で信頼できる ID の伝播を検証する
信頼できる ID の伝播を有効にすると、 `onBehalfOf` 要素の下の CloudTrail イベントログにアクションが表示されます。には、トレーニングジョブを開始した IAM アイデンティティセンターユーザーの ID `userId` が反映されます。次の CloudTrail イベントは、信頼できる ID の伝播プロセスをキャプチャします。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## ランタイムの考慮事項
管理者が、ユーザーバックグラウンドセッション期間よりも短い長時間実行されるトレーニングジョブまたは処理ジョブに **MaxRuntimeInSeconds** を設定すると、SageMaker Studio は **MaxRuntimeInSeconds** またはユーザーバックグラウンドセッション期間の最小値でジョブを実行します。
**MaxRuntimeInSeconds** の詳細については、「*Amazon SageMaker API リファレンス*」の「`CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)」パラメータのガイダンスを参照してください。
# 認可サービス
すべての[分析とデータレイクハウスのユースケース](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview)で、以下を使用してきめ細かなアクセスコントロールを実現できます。
+ AWS Lake Formation - ガイダンスについては、「」を参照してください[IAM Identity Center AWS Lake Formation でのセットアップ](tip-tutorial-lf.md)。
+ Amazon S3 Access Grants - ガイダンスについては、「[IAM アイデンティティセンターを使用した Amazon S3 Access Grants の設定](tip-tutorial-s3.md)」を参照してください。
# IAM Identity Center AWS Lake Formation でのセットアップ
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) は、 AWSでのデータレイクの作成と管理を簡素化するマネージドサービスです。データ収集、カタログ化、セキュリティを自動化し、さまざまなデータ型を保存および分析するための一元化されたリポジトリを提供します。Lake Formation は、きめ細かなアクセスコントロールを提供し、さまざまな AWS 分析サービスと統合することで、組織はデータレイクを効率的にセットアップ、保護し、インサイトを得ることができます。
Lake Formation が IAM アイデンティティセンターと信頼できる ID の伝播を使用してユーザー ID に基づいてデータアクセス許可を付与できるようにするには、次の手順に従います。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
+ [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
## 信頼できる ID の伝播を設定するステップ
1. 「[Lake Formation と IAM アイデンティティセンターとの接続](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) 」のガイダンスに従って、**IAM アイデンティティセンターを AWS Lake Formationと統合します**。
**重要**
** AWS Glue Data Catalog テーブルがない場合は**、 AWS Lake Formation を使用して IAM アイデンティティセンターのユーザーとグループにアクセス許可を付与するためにテーブルを作成する必要があります。詳細については、「[AWS Glue Data Catalogでのオブジェクトの作成](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html)」を参照してください。
1. **データレイクの場所を登録します**。
Glue テーブルのデータが保存されている [S3 の場所を登録](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html)します。これにより、Lake Formation はテーブルのクエリ時に必要な S3 ロケーションへの一時的なアクセスをプロビジョニングし、サービスロール (WorkGroup で設定された Athena サービスロールなど) に S3 アクセス許可を含める必要がなくなります。
1. AWS Lake Formation コンソールのナビゲーションペインの管理****セクションにある**データレイクの場所**に移動します。**[ロケーションを登録]** を選択します。
これにより、Lake Formation は S3 データロケーションにアクセスするために必要なアクセス許可を持つ一時的な IAM 認証情報をプロビジョニングできます。
![\[ステップ 1 Lake Formation コンソールでデータレイクの場所を登録する。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. **Amazon S3** パスフィールドに AWS Glue テーブルのデータロケーションの S3 パスを入力します。
1. **[IAM ロール]** セクションで、信頼された ID の伝播で使用する場合は、サービスにリンクされたロールを選択しないでください。次のアクセス許可で別のロールを作成します。
これらのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。アクセス許可ポリシーは、パスで指定された S3 の場所へのアクセスを許可する必要があります。
1. **アクセス許可ポリシー**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **信頼関係**: これには、信頼できる ID の伝播に必要な `sts:SectContext` を含める必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**注記**
ウィザードによって作成された IAM ロールはサービスにリンクされたロールであり、`sts:SetContext` は含まれません。
1. IAM ロールを作成したら、**[場所の登録]**を選択します。
## Lake Formation による信頼できる ID の伝播 AWS アカウント
AWS Lake Formation は[AWS Resource Access Manager 、 (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) を使用して 間でテーブルを共有 AWS アカウント することをサポートし、付与者アカウントと被付与者アカウントが同じ にあり AWS リージョン、同じ にあり、IAM Identity Center の同じ組織インスタンス AWS Organizationsを共有している場合、信頼できる ID 伝達と連携します。詳細については、「[Lake Formation でのクロスアカウントデータ共有](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html)」を参照してください。
# IAM アイデンティティセンターを使用した Amazon S3 Access Grants の設定
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) は、ID ベースのきめ細かなアクセスコントロールを S3 ロケーションに付与する柔軟性を提供します。Amazon S3 Access Grants を使用すると、企業のユーザーやグループに Amazon S3 バケットアクセスを直接付与できます。IAM アイデンティティセンターで S3 Access Grants を有効にし、信頼できる ID の伝播を実現するには、次の手順に従います。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
+ [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
## IAM アイデンティティセンターを介した信頼できる ID 伝播のための S3 Access Grants の設定
**登録された場所を持つ Amazon S3 Access Grantsインスタンスが既にある場合は、次の手順に従います。**
1. [IAM アイデンティティセンターインスタンスを関連付けます](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html)。
1. [許可を作成します](#tip-tutorial-s3-create-grant)。
**Amazon S3 Access Grants をまだ作成していない場合は、次の手順に従います。**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - ごとに 1 つの S3 Access Grantsインスタンスを作成できます AWS リージョン。S3 Access Grants インスタンスを作成するときは、**[IAM アイデンティティセンターインスタンスの追加]** チェックボックスをオンにし、IAM アイデンティティセンターインスタンスの ARN を指定してください。**[次へ]** を選択してください。
次の図は、Amazon S3 Access Grants コンソールにおける [S3 Access Grants インスタンスを作成する] ページを示しています。
![\[S3 Access Grants コンソールにおける [S3 Access Grants インスタンスページを作成する] ページ。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **ロケーションの登録** - アカウントの に [ Amazon S3 Access Grantsインスタンスを作成](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html)したら、そのインスタンスに [S3 ロケーションを登録](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) AWS リージョン します。S3 Access Grants のロケーションは、デフォルトの S3 ロケーション (`S3://`)、バケット、またはプレフィックスを IAM ロールにマッピングします。S3 Access Grants は、この Amazon S3 ロールを引き受けて、その特定の場所にアクセスする被付与者に一時的な認証情報を提供します。アクセス権限を作成する前に、まず S3 Access Grants インスタンスに少なくとも 1 つのロケーションを登録する必要があります。
**[ロケーションスコープ]** には、そのリージョン内のすべてのバケットを含む `s3://` を指定します。これは、ほとんどのユースケースで推奨されるロケーションスコープです。高度なアクセス管理のユースケースがある場合は、バケット `s3://bucket/prefix-with-path` 内の特定のバケット `s3://bucket` またはプレフィックスにロケーションスコープを設定できます。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[ロケーションの登録](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html)」を参照してください。
**注記**
アクセスを許可する AWS Glue テーブルの S3 ロケーションがこのパスに含まれていることを確認します。
この手順では、 ロケーションの IAM ロールを設定する必要があります。このロールには、ロケーションスコープにアクセスするためのアクセス許可が含まれている必要があります。このロールは、S3 コンソールウィザードを使用して作成できます。この IAM ロールのポリシーで S3 Access Grants インスタンス ARN を指定する必要があります。S3 Access Grants インスタンス ARN のデフォルト値は `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default` です。
次のアクセス許可ポリシーの例では、作成した IAM ロールに対するアクセス許可を Amazon S3 に付与します。また、それに続く信頼ポリシーの例では、S3 Access Grants サービスプリンシパルが IAM ロールを引き受けることを許可します。
1. **アクセス許可ポリシー**
これらのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **信頼ポリシー**
IAM ロールの信頼ポリシーで、作成した IAM ロールに対して、S3 Access Grants サービス (`access-grants.s3.amazonaws.com`) のプリンシパルアクセス権を付与します。これを実行するために、次のステートメントを含む JSON ファイルを作成できます。アカウントに信頼ポリシーを追加するには、「[カスタム信頼ポリシーを使用したロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Amazon S3 Access Grants を作成する
登録された場所を持つ Amazon S3 Access Grants インスタンスがあり、IAM アイデンティティセンターインスタンスを関連付けている場合は、[アクセス許可を作成できます](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html)。S3 コンソールの**[アクセス許可の作成]** ページで、以下を完了します。
**許可を作成する**
1. 前のステップで作成したロケーションを選択します。サブプレフィックスを追加することで、アクセス許可の範囲を縮小できます。サブプレフィックスは、バケット内の `bucket`、`bucket/prefix`、または オブジェクトです。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[サブプレフィックス](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix)」を参照してください。
1. **[アクセス許可とアクセス]** で、必要に応じて **[読み取り]** または**[書き込み]**を選択します。
1. **[付与者のタイプ]**で、**ディレクトリアイデンティティフォーム IAM アイデンティティセンター**を選択します。
1. IAM アイデンティティセンターの**ユーザー ID またはグループ ID** を指定します。ユーザー ID とグループ ID は、IAM アイデンティティセンターコンソールの[**[ユーザー]** と **[グループ]** セクション](howtoviewandchangepermissionset.md)にあります。**[次へ]** を選択してください。
1. **[確認して完了]** ページで、S3 Access Grant の設定を確認し、**[アクセス許可の作成]** を選択します。
次の図は、Amazon S3 Access Grants コンソールの [アクセス許可の作成] ページを示しています。
![\[Amazon S3 Access Grants コンソールで [アクセス許可の作成] ページを作成します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)
# 独自の OAuth 2.0 アプリケーションを設定するには
信頼できる ID の伝播により、カスタマーマネージドアプリケーションはユーザーに代わって AWS のサービス内のデータへのアクセスをリクエストできます。データアクセス管理はユーザーの ID に基づいているため、管理者はユーザーの既存のユーザーやグループのメンバーシップに基づいてアクセスを付与できます。ユーザーの ID、ユーザーに代わって実行されたアクション、およびその他のイベントは、サービス固有のログと CloudTrail イベントに記録されます。
信頼できる ID の伝播を使用すると、ユーザーはカスタマーマネージドアプリケーションにサインインでき、そのアプリケーションは AWS のサービス内のデータにアクセスするリクエストでユーザーの ID を渡すことができます。
**重要**
にアクセスするには AWS のサービス、カスタマーマネージドアプリケーションが IAM アイデンティティセンターの外部にある信頼できるトークン発行者からトークンを取得する必要があります。*信頼できるトークン発行者*とは、署名付きトークンを作成する OAuth 2.0 認可サーバーです。これらのトークンは、 AWS のサービス (受信アプリケーション) へのアクセスリクエストを開始するアプリケーションを承認します。詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
**Topics**
+ [信頼できる ID の伝播用のカスタマーマネージドの OAuth 2.0 アプリケーションを設定する](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)
+ [信頼されたアプリケーションを指定する](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)
+ [信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)
# 信頼できる ID の伝播用のカスタマーマネージドの OAuth 2.0 アプリケーションを設定する
カスタマーマネージドの OAuth 2.0 アプリケーションを信頼できる ID の伝播用に設定するには、まず IAM アイデンティティセンターに追加する必要があります。次の手順を使用して、IAM アイデンティティセンターにアプリケーションを追加します。
**Topics**
+ [ステップ 1: アプリケーションタイプを選択する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [ステップ 2: アプリケーションの詳細を指定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [ステップ 3: 認証設定を指定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [ステップ 4: アプリケーション認証情報を指定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [ステップ 5: 確認して設定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)
## ステップ 1: アプリケーションタイプを選択する
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. [**カスタマーマネージド**] タブを選択します。
1. **[アプリケーションの追加]** を選択します。
1. [**アプリケーションタイプを選択**] ページの [**セットアッププリファレンス**] で、[**セットアップしたいアプリケーションがある**] を選択します。
1. [**アプリケーションタイプ**] で [**OAuth 2.0**] を選択します。
1. [**次へ**] を選択して次のページ、[ステップ 2: アプリケーションの詳細を指定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details) に進みます。
## ステップ 2: アプリケーションの詳細を指定する
1. [**アプリケーションの詳細を指定**] ページの [**アプリケーションの名前と説明**] で、**MyApp** のようなアプリケーションの [**表示名**] を入力します。[**Description**] を入力します。
1. [**ユーザーとグループの割り当て方法**] で、次のいずれかのオプションを選択します。
+ **[割り当ては必須です]** — このアプリケーションに割り当てられている IAM アイデンティティセンターユーザーとグループのみにアプリケーションへのアクセスを許可します。
アプリケーションタイルの可視性 - AWS アクセスポータルでアプリケーションの**可視性が表示可能に AWS **設定されている場合、アクセスポータルでアプリケーションに直接割り当てられたユーザーまたはグループ割り当てを通じて割り当てられたユーザーのみがアプリケーションタイルを表示できます。 ****
+ **[割り当ては不要です]** — 権限のあるすべての IAM アイデンティティセンターユーザーとグループにこのアプリケーションへのアクセスを許可します。
アプリケーションタイルの可視性 – AWS アクセスポータルのアプリケーションの可視性が**非表示**に設定されていない限り**、 AWS アプリケーションタイルはアクセスポータル**にサインインするすべてのユーザーに表示されます。
1. **AWS アクセスポータル**で、ユーザーがアプリケーションにアクセスできる URL を入力し、 AWS アクセスポータルでアプリケーションタイルを表示するかどうかを指定します。[**非表示**] を選択すると、割り当てられたユーザーでもアプリケーションタイルを表示できなくなります。
1. [**タグ (オプション)**] で、[**新しいタグを追加**] を選択し、[**キー**] と [**値 (オプション)**] の値を指定します。
タグの詳細については[AWS IAM アイデンティティセンター リソースのタグ付け](tagging.md)を参照してください。
1. **[次へ]** を選択し、次のページ、[ステップ 3: 認証設定を指定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings) に進みます。
## ステップ 3: 認証設定を指定する
OAuth 2.0 をサポートするカスタマーマネージドアプリケーションを IAM アイデンティティセンターに追加するには、信頼できるトークン発行者を指定する必要があります。信頼できるトークン発行者とは、署名付きトークンを作成する OAuth 2.0 認可サーバーです。これらのトークンにより、 AWS マネージドアプリケーション (受信側アプリケーション) へのアクセスのリクエスト (リクエスト元アプリケーション) を開始するアプリケーションを認可します。
1. [**認証設定を指定する**] ページの、[**信頼できるトークン発行者**] で、次のいずれかを実行します。
+ 既存の信頼できるトークン発行者を使用するには:
使用する信頼できるトークン発行者の名前の横にあるチェックボックスを選択します。
+ 新しい信頼できるトークン発行者を追加するには:
1. [**信頼できるトークン発行者を作成**] を選択します。
1. 新しいブラウザタブが開きます。[IAM アイデンティティセンターコンソールに信頼できるトークン発行者を追加する方法](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer) のステップ 5~8 を実行します。
1. これらの手順を完了したら、アプリケーション設定に使用しているブラウザウィンドウに戻り、追加した信頼できるトークン発行者を選択します。
1. 信頼できるトークン発行者の一覧で、さきほど追加した信頼できるトークン発行者の名前の横にあるチェックボックスをオンにします。
信頼できるトークン発行者を選択すると、[**選択したトラステッドトークン発行者の設定**] セクションが表示されます。
1. [**選択したトラステッドトークン発行者の設定**] で、[**Aud クレーム**] を入力します。[**Aud クレーム**] は、信頼できるトークン発行者が生成したトークンの対象者 (受信者) を識別します。詳細については、「[Aud クレーム](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim)」を参照してください。
1. このアプリケーションを使用しているときにユーザーが再認証する必要がないようにするには、**[更新トークン許可を有効にする]** を選択します。このオプションを選択すると、セッションの有効期限が切れるか、ユーザーがセッションを終了するまで、60 分ごとにセッションのアクセストークンが更新されます。
1. **[次へ]** を選択し、次のページ、[ステップ 4: アプリケーション認証情報を指定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials) に進みます。
## ステップ 4: アプリケーション認証情報を指定する
この手順のステップを完了して、アプリケーションが信頼できるアプリケーションとのトークン交換アクションを実行するときに使用する認証情報を指定します。これらの認証情報は、リソースベースのポリシーで使用されます。このポリシーでは、ポリシーで指定されているアクションを実行するアクセス許可持つプリンシパルを指定する必要があります。信頼できるアプリケーションが同じ AWS アカウントにあっても、**プリンシパルを指定する必要があります**。
**注記**
ポリシーでアクセス許可を設定するときは、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。
このポリシーには [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) API アクションが必要です。このポリシーの詳細と、環境に応じて適応できる例については、「[IAM アイデンティティセンターのリソースベースのポリシーの例](iam-auth-access-using-resource-based-policies.md)」を参照してください。
1. [**アプリケーション認証情報を指定**] ページで、次のいずれかを実行します。
+ 1 つ以上の IAM ロールをすばやく指定するには:
1. **[1 つ以上の IAM ロールを入力する]** を選択します。
1. **[IAM ロールを入力]** で、既存の IAM ロールの Amazon リソースネーム (ARN) を指定します。ARN を指定するには、次の構文を使用します。IAM リソースはグローバルに識別されるため、ARN のリージョンの割り当ては空白です。
```
arn:aws:iam::account:role/role-name-with-path
```
詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[リソースベースのポリシーを使用したクロスアカウントアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies)」および「[IAM ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)」を参照してください。
+ ポリシーを手動で編集するには (AWS 非認証情報を指定する場合は必須)。
1. [**アプリケーションポリシーを編集**] を選択します。
1. JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。
1. ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決します。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)」を参照してください。
1. **[次へ]** を選択して次のページ、[ステップ 5: 確認して設定する](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure) に進みます。
## ステップ 5: 確認して設定する
1. [**確認して設定**] ページで、選択した内容を確認します。変更を加えるには、必要な構成セクションを選択し、[**編集**] を選択して必要なだけ変更を加えます。
1. 完了したら、[**アプリケーションを追加**] を選択します。
1. 追加したアプリケーションが [**カスタマーマネージドアプリケーション**] リストに表示されます。
1. IAM Identity Center でカスタマーマネージドアプリケーションを設定したら、ID の伝播に AWS のサービス 1 つ以上のアプリケーションまたは信頼できるアプリケーションを指定する必要があります。これにより、ユーザーはカスタマーマネージドアプリケーションにサインインして、信頼できるアプリケーションのデータにアクセスできるようになります。
詳細については、「[信頼されたアプリケーションを指定する](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)」を参照してください。
# 信頼されたアプリケーションを指定する
[カスタマーマネージドアプリケーションを設定](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)したら、ID の伝播のために 1 つ以上の信頼された AWS サービスまたは信頼されたアプリケーションを指定する必要があります。カスタマーマネージドアプリケーションのユーザーがアクセスする必要があるデータを含む AWS サービスを指定します。ユーザーがカスタマーマネージドアプリケーションにサインインすると、そのアプリケーションはユーザーの ID を信頼できるアプリケーションに渡します。
以下の手順を使用して、サービスを選択し、そのサービスで信頼する個々のアプリケーションを指定します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. [**カスタマーマネージド**] タブを選択します。
1. **[カスタマーマネージドアプリケーション]** リストで、アクセスのリクエストを開始する OAuth 2.0 アプリケーションを選択します。これはユーザーがサインインするアプリケーションです。
1. [**詳細ページ**] の [**ID の伝播のための信頼されたアプリケーション**] で、[**信頼されたアプリケーションを指定**] を選択します。
1. [**セットアップタイプ**] で、[**個々のアプリケーションとアクセスの指定**] を選択して、[**次へ**] を選択します。
1. [**サービスを選択**] ページで、カスタマーマネージドアプリケーションが ID の伝播に関して信頼できるアプリケーションを含む AWS サービスを選択し、[**次へ**] を選択します。
選択するサービスによって、信頼できるアプリケーションが定義されます。次のステップでは、アプリケーションを選択できます。
1. [**アプリケーションを選択**] ページで、[**個々のアプリケーション**] を選択し、アクセスのリクエストを受信できる各アプリケーションのチェックボックスを選択して、[**次へ**] を選択します。
1. [**アクセスの設定**] ページの [**設定方法**] で、次のいずれかを実行します。
+ **[アプリケーションごとにアクセスを選択]** — このオプションを選択すると、アプリケーションごとに異なるアクセスレベルを設定できます。アクセスレベルを設定するアプリケーションを選択し、**[アクセスを編集]** を選択します。**[適用するアクセスのレベル]** で、必要に応じてアクセスレベルを変更し、[**変更の保存**] を選択します。
+ **[すべてのアプリケーションに同じアクセスレベルを適用する]** — アプリケーションごとにアクセスレベルを設定する必要がない場合は、このオプションを選択します。
1. [**次へ**] を選択します。
1. [**設定を確認**] ページで、選択した内容を確認します。変更を加えるには、必要な設定セクションを選択し、[**アクセスを編集**] を選択して、必要なだけ変更を加えます。
1. 完了したら、[**信頼アプリケーション**] を選択します。
# 信頼できるトークン発行者によるアプリケーションの使用
信頼できるトークン発行者は、外部で認証するアプリケーションで信頼できる ID 伝達を使用できます AWS。信頼できるトークン発行者を使用すると、これらのアプリケーションがユーザーに代わって AWS マネージドアプリケーションへのアクセスをリクエストすることを許可できます。
以下のトピックでは、信頼できるトークン発行者の仕組みを説明し、設定ガイダンスを提供します。
**Topics**
+ [信頼できるトークン発行者の概要](#trusted-token-issuer-overview)
+ [信頼できるトークン発行者の前提条件と考慮事項](#trusted-token-issuer-prerequisites)
+ [JTI クレームの詳細](#trusted-token-issuer-configuration-jti-claim)
+ [信頼できるトークン発行者の構成設定](trusted-token-issuer-configuration-settings.md)
+ [信頼できるトークン発行者の設定](setuptrustedtokenissuer.md)
+ [ID が強化された IAM ロールセッション](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)
## 信頼できるトークン発行者の概要
信頼できる ID 伝達は、 の外部で認証するアプリケーション AWS が、信頼できるトークン発行者を使用してユーザーに代わってリクエストを実行できるようにするメカニズムを提供します。*信頼できるトークン発行者*とは、署名付きトークンを作成する OAuth 2.0 認可サーバーです。これらのトークンは、 (受信アプリケーション) へのアクセスリクエストを開始する AWS のサービスアプリケーション (リクエストアプリケーション) を承認します。リクエスト元アプリケーションは、信頼できるトークン発行者が認証するユーザーに代わってアクセス要求を開始します。ユーザーは、信頼できるトークン発行者と IAM アイデンティティセンターの両方に認識されています。
AWS のサービス リクエストを受信する は、Identity Center ディレクトリに示されているように、ユーザーとグループのメンバーシップに基づいて、リソースに対するきめ細かな認可を管理します。 AWS のサービス は、外部トークン発行者からのトークンを直接使用することはできません。
この問題を解決するために、IAM アイデンティティセンターでは、リクエスト元アプリケーション、またはリクエスト元アプリケーションが使用する AWS ドライバーが、信頼できるトークン発行者が発行したトークンを IAM アイデンティティセンターが生成したトークンと交換する方法を提供しています。IAM アイデンティティセンターによって生成されるトークンは、対応する IAM アイデンティティセンターのユーザーを指します。リクエスト元のアプリケーションまたはドライバーは、新しいトークンを使用して受信側のアプリケーションへのリクエストを開始します。新しいトークンは IAM アイデンティティセンター内の対応するユーザーを参照するため、受信側アプリケーションは IAM アイデンティティセンターに表示されているユーザーまたはグループメンバーシップに基づいて、リクエストされたアクセスを承認できます。
**重要**
OAuth 2.0 認可サーバーを信頼できるトークン発行者として追加するかどうかは、慎重に検討する必要があるセキュリティ上の決定です。以下のタスクを実行するには、信頼できるトークン発行者のみを選択してください。
トークンに指定されているユーザーを認証します。
そのユーザーによる受信側のアプリケーションへのアクセスを許可します。
IAM アイデンティティセンターが IAM アイデンティティセンターが作成したトークンと交換できるトークンを生成します。
## 信頼できるトークン発行者の前提条件と考慮事項
信頼できるトークン発行者を設定する前に、次の前提条件と考慮事項を確認します。
+ 信頼できるトークン発行者の設定
OAuth 2.0 認可サーバー (信頼できるトークン発行者) を設定する必要があります。信頼されたトークン発行者は、通常、IAM アイデンティティセンターの ID ソースとして使用する ID プロバイダーですが、必ずしもそうである必要はありません。信頼できるトークン発行者を設定する方法については、関連する ID プロバイダーのドキュメントを参照してください。
**注記**
信頼できるトークン発行者の各ユーザーの ID を IAM アイデンティティセンターの対応するユーザーにマップさえすれば、最大 10 の信頼できるトークン発行者を IAM アイデンティティセンターで使用するように設定できます。
+ トークンを作成する OAuth 2.0 認可サーバー (信頼できるトークン発行者) には、IAM アイデンティティセンターがトークンの署名を検証するためのパブリックキーの取得に使用できる [OpenID Connect (OIDC)](https://openid.net/specs/openid-connect-discovery-1_0.html) ディスカバリーエンドポイントが必要です。詳細については、「[OIDC ディスカバリーエンドポイント URL (発行者 URL)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url)」を参照してください。
+ **信頼できるトークン発行者が発行するトークン**
信頼できるトークン発行者からのトークンは、次の要件を満たす必要があります。
+ トークンは署名済みであり、かつ RS256 アルゴリズムを使用した [JSON Web トークン (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) 形式である必要があります。
+ トークンには、次のクレームが含まれている必要があります。
+ [発行者](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) – トークンを発行したエンティティ。この値は、信頼できるトークン発行者の OIDC 検出エンドポイント (発行者 URL) で設定されている値と一致する必要があります。
+ [対象](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sub) – 認証対象ユーザー。
+ [オーディエンス](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud) – トークンの意図された受信者。これは、トークンが IAM アイデンティティセンターからトークンと交換された後のアクセス先となる AWS のサービス です。詳細については、「[Aud クレーム](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim)」を参照してください。
+ [有効期限](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) – トークンの有効期限が切れるまでの時間。
+ トークンは、ID トークンでもアクセストークンでもかまいません。
+ トークンには、1 人の IAM アイデンティティセンターユーザーに一意にマッピングできる属性が必要です。
**注記**
Microsoft Entra ID からの JWT のカスタム署名キーの使用はサポートされていません。Microsoft Entra ID からのトークンを信頼できるトークン発行者で使用するには、カスタム署名キーを使用できません。
+ オプションのクレーム
IAM アイデンティティセンターは RFC 7523 で定義されているすべてのオプションのクレームをサポートしています。詳細については、この RFC の「[セクション 3: JWT 形式と処理要件](https://datatracker.ietf.org/doc/html/rfc7523#section-3)」を参照してください。
例えば、トークンには [JTI (JWT ID) クレーム](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7) を含めることができます。このクレームが存在する場合は、同じ JTI を持つトークンがトークンの交換に再利用されるのを防ぐことができます。JTI クレームの詳細については、「[JTI クレームの詳細](#trusted-token-issuer-configuration-jti-claim)」を参照してください。
+ 信頼できるトークン発行者と連携するための IAM アイデンティティセンターの設定
また、IAM アイデンティティセンターを有効にし、IAM アイデンティティセンターの ID ソースを設定し、信頼できるトークン発行者のディレクトリ内のユーザーに対応するユーザーをプロビジョニングする必要があります。
これを行うには、次のいずれかを実行する必要があります。
+ クロスドメイン ID 管理システム (SCIM) 2.0 プロトコルを使用して、ユーザーを IAM アイデンティティセンターと同期します。
+ IAM アイデンティティセンターでユーザーを直接作成します。
## JTI クレームの詳細
IAM アイデンティティセンターが既に交換したトークンを交換するリクエストを IAM アイデンティティセンターが受け取った場合、そのリクエストは失敗します。トークン交換のためのトークンの再利用を検出して防止するために、JTI クレームを含めることができます。IAM アイデンティティセンターは、トークン内のクレームに基づいてトークンの再利用を防止します。
すべての OAuth 2.0 認可サーバーがトークンに JTI クレームを追加するわけではありません。OAuth 2.0 認可サーバーの中には、JTI をカスタムクレームとして追加できないものもあります。JTI クレームの使用をサポートする OAuth 2.0 認可サーバーは、このクレームを ID トークンのみ、アクセストークンのみ、またはその両方に追加する場合があります。詳細については、OAuth 2.0 認可サーバーのドキュメントを参照してください。
トークンを交換するアプリケーションの構築については、IAM アイデンティティセンターAPI ドキュメントを参照してください。正しいトークンを取得して交換するようにカスタマーマネージドアプリケーションを設定する方法については、そのアプリケーションのドキュメントを参照してください。
# 信頼できるトークン発行者の構成設定
次のセクションでは、信頼できるトークン発行者をセットアップして使用するために必要な設定について説明します。
**Topics**
+ [OIDC ディスカバリーエンドポイント URL (発行者 URL)](#oidc-discovery-endpoint-url)
+ [属性マッピング](#trusted-token-issuer-attribute-mappings)
+ [Aud クレーム](#trusted-token-issuer-aud-claim)
## OIDC ディスカバリーエンドポイント URL (発行者 URL)
IAM アイデンティティセンターコンソールに信頼できるトークン発行者を追加するときは、OIDC ディスカバリーエンドポイント URL を指定する必要があります。この URL は通常、その相対 URL である `/.well-known/openid-configuration` で呼ばれます。IAM アイデンティティセンターコンソールでは、この URL は *発行者 URL* と呼ばれます。
**注記**
ディスカバリーエンドポイントの URL は、*`.well-known/openid-configuration` まで、これを含まず貼り付ける必要があります*。`.well-known/openid-configuration` が URL に含まれている場合、信頼されたトークン発行者設定は機能しません。IAM アイデンティティセンターはこの URL を検証しないため、URL が正しく形成されていない場合、信頼できるトークン発行者の設定は通知なしで失敗します。
OIDC 検出エンドポイント URL は、ポート 80 および 443 を介してのみ到達可能である必要があります。
IAM アイデンティティセンターはこの URL を使用して、信頼できるトークン発行者に関する追加情報を取得します。例えば、IAM アイデンティティセンターは、この URL を使用して、信頼できるトークン発行者が生成するトークンの検証に必要な情報を取得します。IAM アイデンティティセンターに信頼できるトークン発行者を追加するときは、この URL を指定する必要があります。URL を確認するには、アプリケーション用のトークンの生成に使用する OAuth 2.0 認可サーバープロバイダーのドキュメントを参照するか、プロバイダーに直接問い合わせて支援を求めてください。
## 属性マッピング
属性マッピングにより、IAM アイデンティティセンターは、信頼できるトークン発行者が発行したトークンに示されているユーザーを IAM アイデンティティセンター内の 1 人のユーザーと照合できます。IAM アイデンティティセンターに信頼できるトークン発行者を追加するときは、属性マッピングを指定する必要があります。この属性マッピングは、信頼できるトークン発行者が生成するトークンのクレームに使用されます。このクレームの値は IAM アイデンティティセンターの検索に使用されます。この検索では、指定された属性を使用して IAM アイデンティティセンター内の 1 人のユーザーを取得します。このユーザーは AWS内のユーザーとして使用されます。選択したクレームは、IAM アイデンティティセンターID ストア内の使用可能な属性の固定リスト内の 1 つの属性にマッピングする必要があります。IAM アイデンティティセンターID ストア属性の、ユーザー名、E メール、外部 ID のいずれか一つを選択できます。IAM アイデンティティセンターで指定する属性の値は、ユーザーごとに一意である必要があります。
## Aud クレーム
*Aud クレーム*は、トークンの対象となる対象者 (受信者) を識別します。アクセスをリクエストするアプリケーションが IAM アイデンティティセンターにフェデレーションされていない ID プロバイダーを通じて認証される場合、その ID プロバイダーを信頼できるトークン発行者として設定する必要があります。アクセスリクエストを受信するアプリケーション (受信側アプリケーション) は、信頼できるトークン発行者が生成したトークンを IAM アイデンティティセンターが生成したトークンと交換する必要があります。
信頼できるトークン発行者に登録されている受信側アプリケーションの aud クレーム値を取得する方法については、信頼できるトークン発行者のドキュメントを参照するか、信頼できるトークン発行者の管理者に支援を問い合わせてください。
# 信頼できるトークン発行者の設定
IAM アイデンティティセンターの外部認証を行うアプリケーションに対し、信頼できる ID を伝播きるようにするには、1 人以上の管理者が、信頼できるトークン発行者を設定する必要があります。信頼できるトークン発行者とは、リクエストを開始するアプリケーション (リクエスト元アプリケーション) にトークンを発行する OAuth 2.0 認可サーバーです。トークンは、これらのアプリケーションがユーザーに代わって受信アプリケーション (an) へのリクエストを開始することを承認します AWS のサービス。
**Topics**
+ [管理者の役割と責任の調整](#coordinating-administrative-roles-responsibilities)
+ [信頼できるトークン発行者を設定するタスク](#setuptrustedtokenissuer-tasks)
+ [IAM アイデンティティセンターコンソールに信頼できるトークン発行者を追加する方法](#how-to-add-trustedtokenissuer)
+ [IAM アイデンティティセンターコンソールで信頼できるトークン発行者の設定を表示または編集する方法](#view-edit-trusted-token-issuers)
+ [信頼できるトークン発行者を使用するアプリケーションのセットアッププロセスおよびリクエストフロー](#setuptrustedtokenissuer-setup-process-request-flow)
## 管理者の役割と責任の調整
場合によっては、単独の管理者が、信頼できるトークン発行者の設定に必要なすべてのタスクを実行することもあります。複数の管理者がこれらのタスクを実行する場合は、緊密な調整が必要です。次の表は、複数の管理者が連携して信頼できるトークン発行者を設定し、それを使用するように AWS サービスを設定する方法を示しています。
**注記**
アプリケーションは、IAM Identity Center と統合され、信頼できる ID の伝播をサポートする任意の AWS サービスにすることができます。
詳細については、「[信頼できるトークン発行者を設定するタスク](#setuptrustedtokenissuer-tasks)」を参照してください。
****
| [Role] (ロール) | これらのタスクを実行する | コーディネートする |
| --- | --- | --- |
| IAM アイデンティティセンター管理者 | 外部 IdP を、信頼できるトークン発行者として、IAM アイデンティティセンターコンソールに追加します。 IAM アイデンティティセンターと外部 IdP 間の正しい属性マッピングを設定するのに役立ちます。 信頼できるトークン発行者が IAM Identity Center コンソールに追加されると、 AWS サービス管理者に通知します。 | 外部 IdP (信頼できるトークン発行者) 管理者 AWS サービス管理者 |
| 外部 IdP (信頼できるトークン発行者) 管理者 | トークンを発行するように外部 IdP を設定します。 IAM アイデンティティセンターと外部 IdP 間の正しい属性マッピングを設定するのに役立ちます。 対象者名 (Aud 要求) を AWS サービス管理者に提供します。 | IAM アイデンティティセンター管理者 AWS サービス管理者 |
| AWS サービス管理者 | 信頼されたトークン発行者の AWS サービスコンソールをチェックします。信頼できるトークン発行者は、IAM Identity Center 管理者が IAM Identity Center コンソールに追加した後、 AWS サービスコンソールに表示されます。 信頼されたトークン発行者を使用するように AWS サービスを設定します。 | IAM アイデンティティセンター管理者 外部 IdP (信頼できるトークン発行者) 管理者 |
## 信頼できるトークン発行者を設定するタスク
信頼できるトークン発行者を設定するには、IAM アイデンティティセンター管理者、外部 IdP (信頼できるトークン発行者) 管理者、およびアプリケーション管理者が次のタスクを完了する必要があります。
**注記**
アプリケーションは、IAM Identity Center と統合され、信頼できる ID の伝播をサポートする任意の AWS サービスにすることができます。
1. **信頼できるトークン発行者を IAM アイデンティティセンターに追加する** — IAM アイデンティティセンターの管理者は、[IAM アイデンティティセンターコンソール](#how-to-add-trustedtokenissuer)または [API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) を使用して信頼できるトークン発行者を追加します。この設定では、以下を指定する必要があります。
+ 信頼できるトークン発行者の名前。
+ OIDC ディスカバリーエンドポイント URL (IAM アイデンティティセンターコンソールでは、この URL は *発行者 URL* と呼ばれます)。検出エンドポイントは、ポート 80 および 443 を介してのみ到達可能である必要があります。
+ ユーザー検索用の属性マッピング。この属性マッピングは、信頼できるトークン発行者が生成するトークンのクレームに使用されます。このクレームの値は IAM アイデンティティセンターの検索に使用されます。検索では、指定された属性を使用して IAM アイデンティティセンター内の 1 人のユーザーを取得します。
1. ** AWS サービスを IAM アイデンティティセンターに接続する** – AWS サービス管理者は、アプリケーションのコンソールまたはアプリケーション APIs を使用してアプリケーションを IAM アイデンティティセンターに接続する必要があります。
信頼できるトークン発行者が IAM Identity Center コンソールに追加されると、 AWS サービスコンソールにも表示され、 AWS サービス管理者が選択できます。
1. **トークン交換の使用を設定する** – AWS サービスコンソールでは、 AWS サービス管理者は、信頼できるトークン発行者が発行したトークンを受け入れるように AWS サービスを設定します。これらのトークンは IAM アイデンティティセンターによって生成されたトークンと交換されます。これには、ステップ 1 で信頼されたトークン発行者の名前と、 AWS サービスに対応する Aud クレーム値を指定する必要があります。
信頼できるトークン発行者は、発行するトークンに Aud クレーム値を配置して、トークンが AWS サービスでの使用を意図していることを示します。この値を取得するには、信頼できるトークン発行者の管理者に問い合わせてください。
## IAM アイデンティティセンターコンソールに信頼できるトークン発行者を追加する方法
複数の管理者がいる組織では、このタスクは IAM アイデンティティセンター管理者が実行します。IAM アイデンティティセンター管理者である場合は、信頼できるトークン発行者として使用する外部 IdP を選択する必要があります。
**IAM アイデンティティセンターコンソールに信頼できるトークン発行者を追加するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[設定]** を選択します。
1. **[設定]** ページで、**[認証]** タブを選択します。
1. [**信頼できるトークン発行者**] で [**信頼できるトークン発行者を作成**] を選択します。
1. 「**信頼できるトークンを発行するための外部 IdP を設定する**」ページの「**信頼できるトークン発行者の詳細**」で、次の操作を行います。
+ **[発行者 URL]** には、信頼できる ID の伝播用のトークンを発行する外部 IdP の [OIDC ディスカバリー URL](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) を指定します。ディスカバリーエンドポイントの URL は、`.well-known/openid-configuration` まで、これを含まず貼り付ける必要があります。外部 IdP の管理者がこの URL を提供できます。
**注記**
注: この URL は、信頼できる ID 伝搬のために発行されたトークン内の発行者 (iss) クレームの URL と一致する必要があります。
+ [**信頼できるトークンの発行者名**] には、IAM アイデンティティセンターとアプリケーションコンソールで、この信頼できるトークン発行者を識別する名前を入力します。
1. [**マップ属性**] で、次の操作を行います。
+ **[ID プロバイダー属性]** では、IAM アイデンティティセンターID ストアの属性にマップする属性をリストから選択します。
+ [**IAM アイデンティティセンター属性**] では、属性マッピングに対応する属性を選択します。
1. [**タグ (オプション)**] で [**新しいタグを追加**] を選択し、[**キー**] と任意で [**値 (オプション)**] の値を指定します。
タグの詳細については[AWS IAM アイデンティティセンター リソースのタグ付け](tagging.md)を参照してください。
1. [**信頼できるトークン発行者を作成**] を選択します。
1. 信頼できるトークン発行者の作成が完了したら、アプリケーション管理者に連絡して信頼できるトークン発行者の名前を伝えて、管理者が信頼できるトークン発行者が該当するコンソールに表示されることを確認できるようにします。
1. アプリケーション管理者は、該当するコンソールでこの信頼できるトークン発行者を選択する必要があります。これにより、信頼できる ID が伝播されるように構成されたアプリケーションからユーザーがアプリケーションにアクセスできるようになります。
## IAM アイデンティティセンターコンソールで信頼できるトークン発行者の設定を表示または編集する方法
IAM アイデンティティセンターコンソールに信頼できるトークン発行者を追加すると、関連設定を表示および編集できます。
信頼できるトークン発行者の設定を編集する予定がある場合は、その信頼できるトークン発行者を使用するように設定されているアプリケーションにユーザーがアクセスできなくなる可能性があることに注意してください。ユーザーアクセスを妨げないように、設定を編集する前に、信頼できるトークン発行者を使用するように構成されているアプリケーションの管理者と連絡を取ることをお勧めします。
**IAM アイデンティティセンターコンソールで信頼できるトークン発行者の設定を表示または編集するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[設定]** を選択します。
1. **[設定]** ページで、**[認証]** タブを選択します。
1. [**信頼できるトークン発行者**] で、表示または編集する信頼できるトークン発行者を選択します。
1. **[アクション]** を選択し、**[編集]** を選択します。
1. [**信頼できるトークンの発行者を編集**] ページで、必要に応じて設定を表示または編集します。信頼できるトークンの発行者名、属性マッピング、およびタグを編集することができます。
1. **[Save changes]** (変更の保存) をクリックします。
1. [**信頼できるトークン発行者を編集**] ダイアログボックスに、変更を加えるかどうかを確認するメッセージが表示されます。**[確認]** を選択します。
## 信頼できるトークン発行者を使用するアプリケーションのセットアッププロセスおよびリクエストフロー
このセクションでは、信頼できるトークン発行者を使用して信頼できる ID の伝播を行うアプリケーションのセットアッププロセスとリクエストフローについて説明します。次の図は、このプロセスの概要を示しています。
![\[信頼できる ID の伝播に信頼できるトークン発行者を使用するアプリの設定プロセスとリクエストフロー\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)
次の手順で、このプロセスに関する追加情報を提供します。
1. 信頼できるトークン発行者を使用するように IAM Identity Center と受信側 AWS マネージドアプリケーションをセットアップします。詳細については、「[信頼できるトークン発行者を設定するタスク](#setuptrustedtokenissuer-tasks)」を参照してください。
1. リクエストフローは、ユーザーがリクエスト元のアプリケーションを開くと開始されます。
1. リクエスト元のアプリケーションは、信頼できるトークン発行者からトークンをリクエストして、受信側の AWS マネージドアプリケーションへのリクエストを開始します。ユーザーがまだ認証されていない場合、このプロセスによって認証フローがトリガーされます。このトークンには次の情報が含まれます。
+ ユーザーのサブジェクト (Sub)。
+ IAM アイデンティティセンターが IAM アイデンティティセンター内の対応するユーザーを検索するために使用する属性。
+ 信頼できるトークン発行者が受信側の AWS マネージドアプリケーションに関連付ける値を含む対象者 (Aud) クレーム。他のクレームが存在する場合、これらは IAM アイデンティティセンターでは使用されません。
1. リクエスト元のアプリケーションまたは使用する AWS ドライバーは、トークンを IAM アイデンティティセンターに渡し、トークンを IAM アイデンティティセンターによって生成されたトークンと交換するようリクエストします。 AWS ドライバーを使用する場合、このユースケースに合わせてドライバーを設定する必要がある場合があります。詳細については、関連する AWS マネージドアプリケーションのドキュメントを参照してください。
1. IAM アイデンティティセンターは OIDC Discovery エンドポイントを使用して、トークンの信頼性を検証するために使用できるパブリックキーを取得します。次に IAM アイデンティティセンターは次の処理を行います。
+ このトークンを検証します。
+ Identity Center ディレクトリを検索します。これを行うには、IAM アイデンティティセンターはトークンで指定されたマッピングされた属性を使用します。
+ ユーザーが受信側のアプリケーションにアクセスする権限を持っていることを確認します。 AWS マネージドアプリケーションがユーザーとグループへの割り当てを要求するように設定されている場合、ユーザーはアプリケーションへの直接またはグループベースの割り当てを持っている必要があります。そうでない場合、リクエストは拒否されます。 AWS マネージドアプリケーションがユーザーとグループの割り当てを必要としないように設定されている場合、処理は続行されます。
**注記**
AWS サービスには、ユーザーとグループに割り当てが必要かどうかを決定するデフォルト設定があります。これらのアプリケーションを信頼できる ID の伝播と組み合わせて使用する予定の場合は、これらのアプリケーションの **[割り当ては必須です]** 設定を変更しないことをお勧めします。特定のアプリケーションリソースへのユーザーアクセスを許可するきめ細かいアクセス許可を設定した場合でも、**[割り当ては必須です]** 設定を変更すると、これらのリソースへのユーザーアクセスが中断されるなど、予期しない動作が発生する可能性があります。
+ リクエスト元のアプリケーションが、受信側 AWS マネージドアプリケーションの有効なスコープを使用するように設定されていることを確認します。
1. 前の検証ステップが成功すると、IAM アイデンティティセンターは新しいトークンを作成します。新しいトークンは、IAM Identity Center の対応するユーザーの ID、受信側 AWS マネージドアプリケーションの対象者 (Aud)、受信側 AWS マネージドアプリケーションにリクエストを行うときにリクエスト側アプリケーションが使用できるスコープを含む不透明 (暗号化) トークンです。
1. リクエスト元のアプリケーションまたはそれが使用するドライバーは、受信アプリケーションへのリソースリクエストを開始し、IAM アイデンティティセンターが生成したトークンを受信アプリケーションに渡します。
1. 受信側のアプリケーションは IAM アイデンティティセンターを呼び出して、ユーザーの ID とトークンにエンコードされたスコープを取得します。Identity Center ディレクトリからユーザー属性またはユーザーのグループメンバーシップを取得するようにリクエストする場合もあります。
1. 受信側のアプリケーションは、その認可設定を使用して、リクエストされたアプリケーションリソースへのアクセスがユーザーに許可されているかどうかを判断します。
1. リクエストされたアプリケーションリソースへのアクセスがユーザーに許可されている場合、受信側のアプリケーションはそのリクエストに応答します。
1. ユーザーの ID、ユーザーに代わって実行されたアクション、およびその他のイベントは、受信側のアプリケーションログと CloudTrail イベントに記録されます。この情報を記録する具体的な方法は、アプリケーションによって異なります。
# ID が強化された IAM ロールセッション
[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html) (STS) を使用すると、アプリケーションはアイデンティティが強化された IAM ロールセッションを取得できます。ID 拡張ロールセッションには、呼び出す にユーザー識別子を格納する ID コンテキストが追加され AWS のサービス ています。 AWS のサービス は、IAM Identity Center でユーザーのグループメンバーシップと属性を検索し、それらを使用してユーザーのリソースへのアクセスを承認できます。
AWS アプリケーションは、 AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) API アクションにリクエストを行い、 へのリクエストの `ProvidedContexts`パラメータでユーザーの識別子 (`userId`) を使用してコンテキストアサーションを渡すことで、アイデンティティが強化されたロールセッションを取得します`AssumeRole`。コンテキストアサーションは、`SSO OIDC` から [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) へのリクエストに応答して受け取った `idToken` クレームから取得されます。 AWS アプリケーションが ID 拡張ロールセッションを使用してリソースにアクセスすると、CloudTrail は `userId`、開始セッション、および実行されたアクションを記録します。詳細については、「[ID 拡張 IAM ロールセッションの記録](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)」を参照してください。
**Topics**
+ [ID が強化された IAM ロールセッションのタイプ](#types-identity-enhanced-iam-role-sessions)
+ [ID 拡張 IAM ロールセッションの記録](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## ID が強化された IAM ロールセッションのタイプ
AWS STS は、`AssumeRole`リクエストに提供されたコンテキストアサーションに応じて、2 つの異なるタイプのアイデンティティ拡張 IAM ロールセッションを作成できます。IAM アイデンティティセンターから ID トークンを取得しているアプリケーションは、IAM ロールセッションに `sts:identiy_context` (推奨) または `sts:audit_context` (下位互換性のためにサポート) を追加できます。なお、ID 拡張 IAM ロールセッションでは、これらのコンテキストアサーションの 1 つしか持つことができず、両方を持つことはできません。
### `sts:identity_context` で作成された ID が強化された IAM ロールセッション
ID 拡張ロールセッションに `sts:identity_context` が含まれている場合、呼び出された AWS のサービス は、リソース認可がロールセッションで表されるユーザーに基づくか、ロールに基づくかを決定します。ユーザーベースの認可をサポートする AWS のサービス は、ユーザーまたはユーザーがメンバーであるグループにアクセスを割り当てるコントロールをアプリケーションの管理者に提供します。
AWS のサービス ユーザーベースの認可をサポートしていない は、 を無視します`sts:identity_context`。CloudTrail は、IAM アイデンティティセンターユーザーのユーザー ID を、ロールによって実行されたすべてのアクションとともに記録します。詳細については、「[ID 拡張 IAM ロールセッションの記録](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)」を参照してください。
このタイプの ID 拡張ロールセッションを から取得するために AWS STS、アプリケーションはリクエスト`ProvidedContexts`パラメータを使用して [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) リクエストの `sts:identity_context`フィールドの値を提供します。`arn:aws:iam::aws:contextProvider/IdentityCenter` を `ProviderArn` の値として使用します。
認可の動作の詳細については、受信に関するドキュメントを参照してください AWS のサービス。
### `sts:audit_context` で作成された ID が強化された IAM ロールセッション
以前は、 は、 AWS のサービス がユーザー ID を使用せずにログに記録するために使用され`sts:audit_context`ていました。 AWS のサービス は、単一のコンテキスト - `sts:identity_context` を使用して、これを達成し、承認の決定を行うことができます。信頼できる ID 伝播のすべての新しいデプロイで `sts:identity_context` を使用することをお勧めします。
## ID 拡張 IAM ロールセッションの記録
ID 拡張 IAM ロールセッション AWS のサービス を使用して にリクエストが行われると、ユーザーの IAM アイデンティティセンター`userId`は `OnBehalfOf`要素の CloudTrail に記録されます。CloudTrail にイベントをログ記録する方法は、 AWS のサービスによって異なります。すべての AWS のサービス が `onBehalfOf` 要素をログ記録するわけではありません。
以下は、ID 拡張ロールセッションを使用して AWS のサービス に対して行われるリクエストが CloudTrail にログ記録される方法の例です。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```
# IAM アイデンティティセンター証明書のローテーション
IAM アイデンティティセンターは、証明書を使用して IAM アイデンティティセンターとアプリケーションのサービスプロバイダーとの間の SAML 信頼関係をセットアップします。IAM Identity Center でアプリケーションを追加すると、セットアップ時にそのアプリケーションで使用する IAM Identity Center 証明書が自動的に作成されます。デフォルトでは、この自動生成された IAM Identity Center 証明書の有効期間は 5 年間です。
IAM Identity Center の管理者として、特定のアプリケーションのために、古い証明書を新しいものに置き換える必要がある場合があります。例えば、証明書の有効期限が近づいている場合、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、*証明書のローテーション*と呼ばれています。
## 証明書をローテーションする前の注意事項
IAM Identity Center で証明書をローテーションするプロセスを開始する前に、以下について検討してください。
+ 認証ローテーションプロセスでは、IAM Identity Center とサービスプロバイダーの間の信頼関係を再構築する必要があります。信頼を再確立するには、[IAM Identity Center 証明書の交代](rotatecert.md) に記載されている手順を行います。
+ サービスプロバイダーの証明書を更新すると、信頼関係が正常に再構築されるまで、ユーザーに一時的なサービス障害が発生する場合があります。このオペレーションは、ピーク時を可能な限り避けて慎重に計画してください。
# IAM Identity Center 証明書の交代
IAM Identity Center 証明書のローテーションは、以下の複数のステップで行われます。
+ 新しい証明書を生成する
+ 新しい証明書をサービスプロバイダのウェブサイトに追加する
+ 新しい証明書をアクティブにする
+ 非アクティブな証明書を削除する
特定のアプリケーションの証明書ローテーションプロセスを完了するには、次の手順をすべて行います。
## ステップ 1: 新しい証明書を生成する
生成した新しい IAM Identity Center 証明書は、以下のプロパティを使用するように設定できます。
+ **有効期間** — 新しい IAM Identity Center 証明書の有効期限が切れるまでの期間 (月単位) を指定します。
+ **キーサイズ** — キーが暗号アルゴリズムで使用するビット数を決定します。この値は、1024 ビット RSA または 2048 ビット RSA のいずれかに設定できます。暗号化におけるキーサイズの仕組みに関する一般情報については、[「Key size」](https://en.wikipedia.org/wiki/Key_size)(キーサイズ) を参照してください。
+ **アルゴリズム** — SAML アサーション/レスポンスの署名時に IAM Identity Center が使用するアルゴリズムを指定します。この値は、サービスプロバイダーが SHA-1 を必要とする場合を除き、可能であれば SHA-256 を使用して SHA-1 または SHA-256. AWS recommends のいずれかに設定できます。 SHA-256 暗号化アルゴリズムの仕組みに関する一般情報については、[「Public-key cryptography」](https://en.wikipedia.org/wiki/Public-key_cryptography)(パブリックキー暗号) を参照してください。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. アプリケーションのリストで、新しい証明書を生成するアプリケーションを選択します。
1. [Application details] (アプリケーションの詳細) ページで、**[Settings]** (設定) タブをクリックします。**[IAM ID センターのメタデータ]** で **[証明書の管理]** を選択します。**[設定]** タブがない場合や、設定が使用できない場合は、このアプリケーションの証明書をローテーションする必要はありません。
1. **[IAM Identity Center 証明書]** ページで、**[新しい証明書を生成]** を選択します。
1. [**新しい IAM Identity Center 証明書を生成する**] ダイアログボックスで、[**有効期間**]、[**アルゴリズム**]、[**キーサイズ**] に適切な値を指定します。次に **[Generate]** (生成) をクリックします。
## ステップ 2: サービスプロバイダーのウェブサイトを更新する
以下の手順で、アプリケーションのサービスプロバイダーとの信頼関係を再構築します。
**重要**
新しい証明書をサービスプロバイダーにアップロードすると、ユーザーが認証を受けられなくなる可能性があります。この問題を解決するには、次のステップの説明にあるとおり、新しい証明書をアクティブに設定します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)で、先ほど新しい証明書を生成したアプリケーションをクリックします。
1. [Application details] (アプリケーションの詳細) ページで、**[Edit configuration]** (設定の変更) タブをクリックします。
1. **[View instructions]** (手順を表示する) をクリックし、特定のアプリケーションサービスプロバイダーのウェブサイトの指示に従って、新しく生成された証明書を追加します。
## ステップ 3: 新しい証明書をアクティブにする
アプリケーションには、最大 2 つの証明書を割り当てることができます。IAM アイデンティティセンターは、すべての SAML アサーションに署名するためにアクティブに設定されている証明書を使用します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. アプリケーションのリストで [your application] (お客様のアプリケーション) をクリックします。
1. [Application details] (アプリケーションの詳細) ページで、**[Settings]** (設定) タブをクリックします。**[IAM Identity Center のメタデータ]** で **[証明書の管理]** を選択します。
1. **[IAM Identity Center 証明書]** ページで、アクティブに設定したい証明書を選択し、**[アクション]** をクリックし、そして、**[アクティブとして設定]** をクリックします。
1. **[Set the selected certificate as active]** (選択した証明書をアクティブにする) ダイアログで、証明書をアクティブにすると信頼関係の再構築が必要になることを確認して、**[Make active]** (アクティブにする) をクリックします。
## ステップ 4: 古い証明書を削除する
以下の手順で、アプリケーションの証明書ローテーション処理を行います。削除できるのは、**Inactive** (無効) 状態の証明書のみです。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. アプリケーションのリストで [your application] (お客様のアプリケーション) をクリックします。
1. アプリケーションの詳細ページで、**[Configuration]** (構成) タブを選択します。**[IAM Identity Center のメタデータ]** で **[証明書の管理]** を選択します。
1. **[IAM Identity Center 証明書]** ページで、削除する証明書を選択します。**[Actions]** (アクション) を選択してから、**[Delete]** (削除) を選択します。
1. **[Delete certificate]** (証明書の削除) ダイアログボックスで、**[Delete]** (削除) をクリックします。
# 証明書の有効期限切れステータスインジケーター
IAM アイデンティティセンターコンソールでは、**[アプリケーション]** ページに各アプリケーションのプロパティのステータス表示アイコンが表示されます。これらのアイコンは、リストの各証明書名の横にある **[有効期限]** 列に表示されます。以下は、IAM アイデンティティセンターが各証明書に対してどのアイコンを表示するかの基準です。
+ **赤** — 証明書が現在期限切れであることを示します。
+ **黄** — 証明書の有効期限が 90 日以下であることを示します。
+ **緑** — 証明書が現在有効であり、少なくとも 90 日間有効であることを示します。
**証明書のステータスを確認するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. アプリケーションの一覧で、**[Expires on]** (有効期限) 列に表示されている証明書のステータスを確認します。
# IAM アイデンティティセンターコンソールのアプリケーションプロパティを理解する
IAM Identity Center では、アプリケーションの開始 URL、リレーステート、セッション時間を設定することで、ユーザーエクスペリエンスをカスタマイズできます。
## アプリケーション開始 URL
アプリケーション開始 URL を使用して、アプリケーションでフェデレーションプロセスを開始できます。一般的な用途は、サービスプロバイダー (SP) 開始バインディングのみをサポートするアプリケーション用です。
以下のステップと図は、ユーザーが AWS アクセスポータルでアプリケーションを選択したときのアプリケーション開始 URL の認証ワークフローを示しています。
1. ユーザーのブラウザは、アプリケーション開始 URL (この場合は https://example.com) の値を使用して認証リクエストをリダイレクトします。
1. アプリケーションは、IAM Identity Center に`SAMLRequest`付きの`HTML``POST`を送信します。
1. 次に IAM Identity Center は `HTML``POST` を `SAMLResponse` でアプリケーションに送り返します。
![\[図は、アプリ開始 URL 認証ワークフローを示しています。ユーザーが AWS アクセスポータルでアプリを選択した場合のステップです。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/app_properties_start_url.png)
## リレーステート
フェデレーション認証プロセス中に、リレーステートはアプリケーション内でユーザーをリダイレクトします。SAML 2.0 の場合、この値は、変更されずにアプリケーションに渡されます。アプリケーションのプロパティ設定が完了すると、IAM Identity Center が SAML レスポンスとともにリレーステート値をアプリケーションに送信します。
![\[図は、フェデレーション認証プロセスを示しています。リレーステート、SAML 2.0、IAM Identity Center、アプリケーションが応答を受信します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/app_properties_relay_state.png)
## セッション期間
セッション期間は、アプリケーションのユーザー セッションが有効な時間の長さです。SAML 2.0 では、これは、SAML アサーションの要素 `saml2:AuthNStatement` の `SessionNotOnOrAfter` の日付を設定するために使用されます。
セッション期間は次のいずれかの方法でアプリケーションによって解釈されます。
+ アプリケーションはこれを使用して、ユーザーのセッションに許可される最大時間を決定できます。アプリケーションによっては、より短い時間のユーザーセッションを生成する可能性があります。これは、設定されたセッションの長さよりも短い期間のユーザーセッションのみをアプリケーションがサポートする場合に発生する可能性があります。
+ アプリケーションはこれを正確な期間として使用でき、管理者に値の設定を許可しない場合があります。これは、アプリケーションが特定のセッションの長さのみをサポートするときに発生する可能性があります。
セッション期間の使用の詳細については、ご使用のアプリケーションのドキュメントを参照してください。
# IAM Identity Center コンソールでアプリケーションへのユーザーアクセスを割り当てます。
アプリケーションカタログ内の SAML 2.0 アプリケーションまたはカスタム SAML 2.0 アプリケーションへのシングルサインオンアクセスをユーザーに割り当てることができます。
グループ割り当てに関する考慮事項:
+ **アクセス権をグループに直接割り当てます。**アクセス権限の管理をシンプルにするためには、個々のユーザーではなくグループに直接アクセスを割り当てることをお勧めします。グループを使用すると、個々のユーザーにこれらのアクセス権限を適用するのではなく、ユーザーグループに対してアクセス権限を付与または拒否できます。ユーザーが別の組織に異動した場合、そのユーザーを別のグループに移動させるだけです。その後、ユーザーは新しい組織に必要な権限を自動的に受け取ります。
+ **ネストされたグループはサポートされません。**アプリケーションへのアクセス許可をユーザーに割り当てる場合、IAM Identity Center はネストされたグループへのユーザーの追加はサポートしていません。ユーザーがネストされたグループに追加されると、サインイン時に「アプリケーションがありません」というメッセージが表示される場合があります。割り当ては、ユーザーが属している直属のグループに対して行われなければなりません。
**ユーザーまたはグループにアプリケーションへのアクセスを割り当てるには**
**重要**
AWS マネージドアプリケーションの場合、関連するアプリケーションコンソール内から直接、または APIs を介してユーザーを追加する必要があります。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
**注記**
でユーザーを管理する場合は AWS Managed Microsoft AD、次のステップに進む前に、IAM Identity Center コンソールが AWS Managed Microsoft AD ディレクトリがある AWS リージョンを使用していることを確認してください。
1. **[Applications]** (アプリケーション) を選択します。
1. アプリケーションのリストで、アクセスを割り当てるアプリケーション名を選択します。
1. アプリケーションの詳細ページの [**割り当てられたユーザー**] セクションで、[**割り当てられたユーザー**] をクリックします。
1. **[ユーザーの割り当て]** ダイアログボックスにユーザーの表示名またはグループ名を入力します。複数のユーザーまたはグループを指定するには、検索結果に表示される該当するアカウントを選択します。
1. **[ユーザーの割り当て]** を選択します。
# SAML 2.0 アプリケーションへのユーザーアクセスを削除する
アプリケーションカタログの SAML 2.0 アプリケーションまたはカスタム SAML 2.0 アプリケーションへのユーザーアクセスを削除するには、この手順を実行します。認証セッションと期間の詳細については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
**アプリケーションへのユーザーアクセスを削除するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. アプリケーションのリストで、ユーザーアクセスを削除するアプリケーションを選択します。
1. アプリケーションの詳細ページの [**割り当てられたユーザー**] セクションで、削除するユーザーまたはグループを選択してから、[**削除**] を選択します。
1. **[Remove access]** (アクセスの削除) ダイアログボックスで、ユーザー名またはグループ名を確認します。次に、**[Remove access]** (アクセスの削除) を選択します。
# アプリケーションの属性を IAM Identity Center の属性にマップする
一部のサービスプロバイダーでは、ユーザーのサインインに関する追加のデータを渡すためにカスタム SAML アサーションが必要です。その場合は、以下の手順を使用して、アプリケーションのユーザー属性を IAM Identity Center の対応する属性にマップする方法を指定します。
**アプリケーションの属性を IAM Identity Center の属性にマップするには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. アプリケーションのリストで、属性をマップするアプリケーションを選択します。
1. アプリケーション詳細ページで [**アクション**] を選択し、[**属性マッピングを編集]** を選択します。
1. [**新規属性マッピングの追加**] を選択します。
1. 最初のテキストボックスに、アプリケーションの属性を入力します。
1. 2 番目のテキストボックスに、アプリケーションの属性にマップする IAM Identity Center の属性を入力します。たとえば、アプリケーションの属性 **Username** を IAM Identity Center のユーザー属性 **email** にマップできます。IAM Identity Center で許可されるユーザー属性のリストについては、「[IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md)」の表を参照してください。
1. この一覧の 3 番目の列で、メニューから属性に該当する形式をクリックします。
1. **[Save changes]** (変更の保存) をクリックします。