「AWS SSO」「AWS Control Tower」の機能とは？ AWSのクラウドIAM：AWSの「クラウドIAM」7選【後編】

AWSはさまざまなクラウドIAMをそろえる。その中から、各種クラウドサービスへのシングルサインオン（SSO）を実現する「AWS SSO」と、複数のAWSアカウントを管理・監視する「AWS Control Tower」の特徴を説明する。

[Ernesto Marquez，TechTarget]

　Amazon Web Services（AWS）の同名クラウドサービス群のユーザー企業は、本番用や開発用といった用途に応じて複数のAWSアカウントを利用することが可能だ。AWSは複数のAWSアカウントの管理にかかる負担を軽減するために、複数の「IAM」（IDおよびアクセス管理）のクラウドサービス（以下、クラウドIAM）を提供している。中編「AWSアカウントの一元管理に役立つ『AWS RAM』と『AWS Organizations』とは」に続く本稿は、AWSのクラウドIAM「AWS Single Sign-On」（AWS SSO）と「AWS Control Tower」の特徴を説明する。

併せて読みたいお薦め記事

AWSサービスとセキュリティ

• AWS IAM、Amazon Cognito、AWS Directory Serviceとは？　AWSの主要クラウドIAM
• 「Amazon S3」内のデータが設定ミスで公開状態に　漏えいしたデータは？
• 「Amazon S3」の“うっかり”設定ミスを防ぐ「IAM Access Analyzer」とは

クラウドサービスのセキュリティ対策

• Amazon、Google、IBM　各ベンダーの「クラウドベースIAM」を比較する
• クラウドセキュリティの“最大の敵”が「人」である理由

AWS Single Sign-On（AWS SSO）

　AWS SSOは、複数のアプリケーションへの一括ログイン（SSO：シングルサインオン）を可能にする。ユーザー企業がAWSでホストするアプリケーションに加え、Salesforce （salesforce.com）のCRM（顧客関係管理）サービス「Salesforce」、Microsoftのクラウドオフィススイート「Microsoft 365」（Office 365）などのサードパーティー製アプリケーションをSSOの対象にできる。

　Microsoftの「Active Directory」「Azure Active Directory」、Oktaの「Okta Universal Directory」などのディレクトリサービスとAWS SSOを連携させることも可能だ。これにより、ユーザー企業が各ディレクトリサービスで管理するエンドユーザーも、AWS SSOによるSSOを利用できるようになる。

　ユーザー企業はAWS SSOとAWSアカウント管理サービスの「AWS Organizations」を連携させることで、エンドユーザーがアクセスできるAWSアカウントや各エンドユーザーのアクセス権限を設定できる。AWS Organizationsは、複数のAWSアカウントが持つ全てのアクセス権限を管理する。AWS SSOは管理対象のエンドユーザーに対して、AWS Organizationsで管理するアクセス権限を割り当てる。

　管理者はAWS SSOの管理コンソールから、エンドユーザーがアクセスできるAWSアカウントと、それぞれのAWSアカウントがアクセスできるシステムを設定できる。これによりエンドユーザーは各AWSアカウントに対して、個別にログインする必要がなくなる。

AWS Control Tower

　AWS Control Towerは、ユーザー企業がAWS Organizationsで設定した複数のAWSアカウントをまとめて管理するためのサービスだ。複数のAWSアカウントにおけるAWSサービスの利用を一元的に管理するポリシーを作成し、適用する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。