1. スイッチロールで子アカウントの切り替えから卒業しよう
スイッチロールで子アカウントの切り替えをしているのは面倒です。AWSは直近の5件しか表示してくれないので、時々面倒になることがある。そこで登場するのがIAM Identity Centerです。
2. IAM Identity Centerって何?
IAM Identity Centerは昔、IAM Single Sign-Onって言われていたサービスで、複数のAWSアカウントにシングルサインオン(一つのアカウントにログインすることで複数の他のサービスにログインできるようになる機能のこと)で簡単に行き来できるようになるサービスです。IAM Identity Centerは、シングルサインオンの認証スキームを使用してユーザーが一度のサインインで複数のアプリケーションとウェブサイトにアクセスできるようにするものです。
IAM Identity Centerでは、ワークフォースユーザーやグループを作成するか、既存のユーザーやグループのセットを自身のアイデンティティソースから接続して同期し、すべてのAWSアカウントとアプリケーションで使用することができます。また、SAML 2.0アプリケーションへのシングルサインオンアクセスをワークフォースユーザーに許可し、一度に複数のAWSアカウント全体でIAM権限を一元的に管理することも可能です。
ただし、IAM Identity Centerの設定はルートユーザーからはできません。そのため、企業が子アカウントしか持っていない場合は、まずルートアカウントを取得する必要があります。(撃沈)
3. IAM Identity Centerの設定方法
以下に、IAM Identity Centerの設定方法を説明します。
AWS Management Consoleにログインします。
サービスメニューから「IAM Identity Center」を選択します。
ワークフォースユーザーを作成するか、既存のユーザーやグループのセットを自身のアイデンティティソースから接続して同期します。
必要に応じてワークフォースユーザーにSAML 2.0アプリケーションへのシングルサインオンアクセスを許可します。
複数のAWSアカウント全体でIAM権限を一元的に管理する設定を行います。
設定が完了すれば、ワークフォースユーザーはAWSアクセスポータルを通じて割り当てられたすべてのAWSアカウントとクラウドアプリケーションにワンクリックでアクセスできます。
4. まとめ
IAM Identity Centerは、一度のログインで複数のAWSアカウントとアプリケーションにアクセスできるようにするシングルサインオンの認証スキームを提供します。これにより、ユーザーは簡単に複数のAWSアカウント間を移動することができ、一元的なIAM権限管理を実現することができます。