developersIO
AWS Security Agent のWebアプリへの認証方式「ユーザーアクセスの管理」を設定してみた #AWSreInvent

AWS Security Agent のWebアプリへの認証方式「ユーザーアクセスの管理」を設定してみた #AWSreInvent

AWS re:Invent 2025
AWS
FacebookHatena blogX
2025.12.10

あしざわです。

先日のAWS re:Invent 2025にて、セキュリティ機能に特化した自立型AIエージェント『AWS Security Agent』がプレビューリリースされました。

本ブログでは、AWS Security Agentにおけるセキュリティテストを実行する主体である "Webアプリケーション" に対する『ユーザーアクセスの管理方法』に関する概要や検証を行います。

現在プレビューリリースのSecurity Agentですが、これからPoCを始めようとしている方向けにユーザーアクセスをどのように設定するかの参考になれば幸いです。

まとめ

  • アクセス方法の選択肢
    • 管理者アクセス: IAMユーザー/ロールでAWSマネジメントコンソール経由でアクセス
    • IAM Identity Center SSO: IdCユーザーでWebアプリに直接アクセス
  • 注意点
    • 初回のエージェントスペース作成時に指定し、後から変更はできない
    • 削除するときはすべてのエージェントスペースの削除が必要
    • Security AgentのリージョンとIAM Identity Center が有効化されているリージョンは同じである必要がある
  • 選択の判断基準
    • すぐに使い始めたい、既存のIAMをそのまま活用したい
      • 管理者アクセスでOK
    • AWSマネジメントコンソールへのアクセス権限を与えずにSecurity Agentのみ利用させたい
      • IAM Identity Center によるSSOを利用すべき

概要

AWS Security Agentは、開発ライフサイクル全体に対してアプリケーションセキュリティを確保する自律的に動作するフロンティアエージェントとしてリリースされたサービスです。

https://dev.classmethod.jp/articles/aws-security-agent-public-preview-reinvent-2025/

Security Agentにはコア機能と呼ばれる主要な3つの機能があります。

  • 設計レビュー
  • コードレビュー
  • ペネトレーションテスト

参考:AWS公式ドキュメント

これらはAWSマネージドに発行される セキュリティエージェントWebアプリケーション から実行します。(以降Webアプリと表現)[1]

今回の主題である『ユーザーアクセスの管理』とは、その Webアプリへの接続時の認証方式 に関する設定です。

認証方式は以下の2つです。

  • 管理者アクセス (IAMユーザー/ロール)
  • IAM Identity Center によるSSO

前者は、AWSマネジメントコンソール上でWebアプリへアクセスできるリンクからWebアプリに接続します。AWSマネジメントコンソールのアクセス権限が必要です。

後者はIAM Identity Centerを使ったSSOで、Webアプリに直接ログインできます。AWSマネジメントコンソールへのアクセス権限は不要です。

なお、アクセス方法は初回のエージェントスペース作成時に選択するのですが、後から変更できません。2つ目のエージェントスペースからは設定できず、初回と同じ設定となります。

CleanShot 2025-12-04 at 05.21.39@2x

※以降、IAM Identity Centerのことを IdC と省略して表現することがあります

アクセス設定

Webアプリの2つのアクセスパターンを試してみました。

  • 管理者アクセス
  • IAM Identity Center によるSSO

なお、IdCインスタンスは以下の2種類がありますが、今回は後者を利用した検証となります。

  • 組織インスタンス : Organizations管理アカウントのみで作成できる
  • アカウントインスタンス : OrganizationsのメンバーアカウントもしくはスタンドアロンのAWSアカウントで作成できる

また、初期設定で利用するIAMは、Administrator権限のIAMポリシーを付与しているIAMロールを利用しています。

管理者アクセス

先述したセットアップ画面のアクセス方法でIAMユーザーを指定します。

CleanShot 2025-12-04 at 05.21.39@2x

最初のエージェントスペースを作成しました。

CleanShot 2025-12-04 at 05.24.28@2x

そのままウェブアプリタブの管理者アクセス 、もしくは 画面右上のウェブアプリを起動 を選択すると、外部ウェブアプリがブラウザで開かれます。

  • 遷移先のURL:https://[アプリケーションID].securityagent.global.app.aws/[エージェントスペースのID]

CleanShot 2025-12-04 at 05.26.27@2x

簡単ですね。

IAM Identity Center アカウントインスタンスでのSSOアクセス

事前にバージニア北部リージョンのIdCアカウントインスタンスとそれに紐つくIdCユーザーを作成しておきます。

※Security Agent(アプリケーション)のリージョンとIdentity Centerのリージョンは同じである必要があります(参考リンク)

CleanShot 2025-12-06 at 21.40.29@2x

再度、初期設定から始めます。

初回のエージェントスペースの設定で IAM Identity Center によるSSO を選択しました。

CleanShot 2025-12-04 at 06.10.46@2x

エージェントスペースの作成後、IdCのアプリケーションの設定を確認すると、Security Agentというアプリケーションが作成されていました。

CleanShot 2025-12-04 at 06.24.51@2x

エージェントスペースの詳細画面からユーザーを追加を選択します。

CleanShot 2025-12-06 at 22.07.06@2x 1

事前に作成しておいたIdCユーザーを選択しました。

CleanShot 2025-12-06 at 22.07.25@2x

エージェントスペースにIdCユーザーを追加できました。

CleanShot 2025-12-06 at 22.15.55@2x

準備ができたので、マネジメントコンソールからログアウトします。

IdC アクセスポータルに作成済みのIdCユーザーでログインすると、アプリケーションタブ内にSecurityAgentが追加されていました。

CleanShot 2025-12-06 at 22.18.40@2x

SecurityAgentをクリックすると、リダイレクト画面が表示されたのちにSecurity AgentのWebアプリに遷移しました。

  • 遷移先のURL:https://[アプリケーションID].securityagent.global.app.aws/

CleanShot 2025-12-06 at 21.47.58@2x

CleanShot 2025-12-06 at 22.21.24@2x

エージェントスペースを選択すると、/[エージェントスペースのID] のページに遷移しました。

CleanShot 2025-12-04 at 05.26.27@2x

ちなみに、管理者アクセスと同様にAWSマネジメントコンソールのエージェントスペース設定から ウェブアプリを起動 を選択すると、リダイレクト画面がしばらく表示されたのちにIdCのサインイン画面に遷移しました。

CleanShot 2025-12-06 at 21.47.58@2x

CleanShot 2025-12-04 at 06.18.10@2x

IAM Identity Center によるSSOを選択すると、SSO認証なしでWebアプリにアクセスできなくなるようです。

アクセス設定の削除

先述したとおり、アクセス設定を削除するためにはアプリケーション自体を一度削除する必要があります。

マネジメントコンソールの設定からアプリケーションを削除できます

CleanShot 2025-12-07 at 16.22.21@2x

アプリケーションを削除する前提として、エージェントスペースの全削除が必要です。

CleanShot 2025-12-07 at 16.24.38@2x

エージェントスペースを一覧画面から削除できました。

CleanShot 2025-12-07 at 16.25.23@2x

CleanShot 2025-12-07 at 16.25.35@2x

すべてのエージェントスペースを削除したのちに、アプリケーションを削除すると環境が初期の状態に切り戻り、再度アクセス設定から始められます。

まとめ

  • アクセス方法の選択肢
    • 管理者アクセス: IAMユーザー/ロールでAWSマネジメントコンソール経由でアクセス
    • IAM Identity Center SSO: IdCユーザーでWebアプリに直接アクセス
  • 注意点
    • 初回のエージェントスペース作成時に指定し、後から変更はできない
    • 削除するときはすべてのエージェントスペースの削除が必要
    • Security AgentのリージョンとIAM Identity Center が有効化されているリージョンは同じである必要がある
  • 選択の判断基準
    • すぐに使い始めたい、既存のIAMをそのまま活用したい
      • 管理者アクセスでOK
    • AWSマネジメントコンソールへのアクセス権限を与えずにSecurity Agentのみ利用させたい
      • IAM Identity Center によるSSOを利用すべき

最後に

AWS Security Agentのユーザーアクセス管理について、2つのアクセスパターンを検証しました。

まだプレビューリリースのサービスですが、初回設定で選択したアクセス方法は変更できません。今後のGA・正式運用に向けて、組織の認証基盤やセキュリティポリシーに合わせて慎重に選択する必要があることを覚えておきましょう。

検証用途であれば管理者アクセス(IAM)で何も問題ないですが、以下のケースであればIdC SSOの方が権限管理がシンプルになるケースが多いでしょう。

  • Security Agentの利用者のIAMが整備されておらず、他のAWSサービスへのアクセスは不要なとき
  • 利用者のIAMは整備できているが、新しくSecurity Agentにだけ絞ったアクセス権限を付与したいとき

気になりつつも検証できなかったことは、まとめに記載した以下の点について、IAM Identity Centerの組織インスタンスでも同様の制約があるかどうかです。

Security AgentのリージョンとIAM Identity Center が有効化されているリージョンは同じである必要がある

おそらくアカウントインスタンスと同様に同リージョンでの作成が必要になると思っており、バージニア北部のみのサポートである現状はIdentity Centerの再作成が必要になりそうです。

また別途検証してみようと思います。

本記事がAWS Security AgentのPoCを検討されている方の参考になれば幸いです。

以上です。

脚注

  1. 一方、コア機能を実行する前提となる設定(コア機能の設定、Webアプリへのアクセス設定、セキュリティ要件の管理など)はAWSマネジメントコンソールから行います ↩︎

この記事をシェアする

FacebookHatena blogX

関連記事

[レポート]「Instrument Your Serverless Apps for Full Visibility」というセッションに参加しました #TNC304 #AWSreInvent
田中聖也
2025.12.10
2025年11月くらいのAWS最新情報ブログとかをキャッチアップする – AWSトレンドチェック勉強会用資料 - その1
臼田佳祐
2025.12.10
[小ネタ]Durable Functionsのリトライ時はチェックポイントの直後から処理が再開されるわけではありません #AWSreInvent
岩田智哉
2025.12.10
[レポート]「The Kiro coding challenge」というセッションに参加しました #DVT317 #AWSreInvent
田中聖也
2025.12.10