AWS Single Sign-onがAWS IAM Identity Centerになりました!
AWS Single Sign-on (AWS SSO) が AWS IAM Identity Center になりました。マネジメントコンソールで新しい設定画面を見る限り、AWS IAM Identity Center は AWS Single Sign-On の後継サービスの位置づけとなります。ざっくりと変更点を調べてみました。
AWS のブログでも紹介されています。
何が変わったのか
始めにまとめです。
- 現時点では、技術的な機能は変更されていない
ssoidentitystoreなどの API、名前空間は下位互換性維持のため、変更されていない
マネジメントコンソールを確認してみる
新しい設定画面を画面を見てみます。
メニューの構成は、AWS SSO のときからあまり変わっていないようです。関連コンソールとして、AWS IAM サービスへのリンクが追加されているくらいでしょうか。
冒頭で紹介した AWS のブログを見る限り、現状では技術的な変更はないとのことです。
Although the technical capabilities of the service haven’t changed with this announcement, we want to take the opportunity to walk through some of the important features that drive our recommendation to consider IAM Identity Center your front door into AWS.
お気に入りバーの表記も変わっています。混乱させないためか、AWS SSO の後継サービスであることが明記されています。長い!
ユーザーガイドを確認してみる
ユーザーガイドに名称変更の説明がありました。
What is IAM Identity Center? - AWS IAM Identity Center (successor to AWS Single Sign-On)
ユーザーガイドでは新旧の用語の対応表が記載されています。AWS SSO ユーザーポータルの新しい名前は AWS アクセスポータルになります。
| AWS SSO の用語 | AWS IAM Identity Center の用語 |
|---|---|
| AWS SSO user or SSO user | workforce user or user |
| AWS SSO user portal or user portal | AWS access portal |
| AWS SSO-integrated applications | Identity Center enabled applications |
| AWS SSO directory | Identity Center directory |
| AWS SSO store or AWS SSO identity store | identity store used by IAM Identity Center |
また、API やマネージドポリシー、サービスエンドポイントは下記互換性維持のため変更されていないと記載があります。
The
ssoandidentitystoreAPI namespaces along with the following related namespaces remain unchanged for backward compatibility purposes.
- CLI commands
- Managed policies containing
AWSSSOandAWSIdentitySyncprefixes- Service endpoints containing
ssoandidentitystore- AWS CloudFormation resources containing
AWS::SSOprefixes- Service-linked role containing
AWSServiceRoleForSSO- Console URLs containing
ssoandsinglesignon- Documentation URLs containing
singlesignon
試しに、AWS CLI のsso-adminコマンドでアクセス許可セットの一覧を表示したところ、動作しました。
$ aws sso-admin list-instances
{
"Instances": [
{
"InstanceArn": "arn:aws:sso:::instance/ssoins-7758fc71aexample",
"IdentityStoreId": "d-xxxxxxxxxx"
}
]
}
$ aws sso-admin list-permission-sets --instance-arn arn:aws:sso:::instance/ssoins-7758fc71aexample
{
"PermissionSets": [
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-d911a866f7e86d84",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-f2ca3f4d9c9ec3ba",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-713d6e69c9e1ce28",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-23793a616a04390c",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-0e741bbc65bdf587",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-7786b0589400a725",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-d0dd7c15d1497d62",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-ff35530dadc85d2b",
"arn:aws:sso:::permissionSet/ssoins-7758fc71aexample/ps-e179062bb552dc54"
]
}
さいごに
AWS Single Sign-on (AWS SSO) が AWS IAM Identity Center になりました。
現時点では技術的な機能の変更は無いようですが、名前から連想するに、今後は AWS IAM サービスとの連携が強化されるのかもしれませんね。最近のアップデートでは、AWS IAM のカスタマー管理ポリシーをサポートしていました。今後のアップデートに注目していきたいです。
![[アップデート] Amazon WorkMail が IAM Identity Center との統合をサポートしました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-33f553fab1abf9904a8a7be85fa2e52d/0a8b9c1b643ed27e7f8448a442050efe/amazon-workmail)
