developersIO
[アップデート] AWS IAM Identity Center がマルチリージョンをサポートしました

[アップデート] AWS IAM Identity Center がマルチリージョンをサポートしました

AWS IAM Identity CenterAWS
FacebookHatena blogX
2026.02.04

いわさです。

AWS IAM Identity Center は AWS マネージドな ID 基盤として利用できるサービスで、様々なアプリケーションと統合して認証基盤として利用したり、AWS Organizations 環境下の場合であれば IAM Identity Center のユーザーに許可セットを割り当てることでマルチアカウントへのアクセス導線や権限の一元管理を行うことができます。

非常に強力な機能ですが、IAM Identity Center はリージョナルサービスであり、さらに単独のリージョンでのみ構築できるものとなっていました。
先日のアップデートで AWS IAM Identity Center がなんとマルチリージョンをサポートしました。

https://aws.amazon.com/about-aws/whats-new/2026/02/aws-iam-identity-center-multi-region-aws-account-access-and-application-deployment/

これによって、例えば DR 要件で IAM Identity Center もマルチリージョンで作成したかったり、あるいはデータ保管要件などで別のリージョンを使いたい場合などに対応が出来るようになりました。

前提条件や注意事項

まず、この機能ですが前提条件や制限事項が結構多いので十分に注意する必要があります。まずは公式ドキュメントを読みましょう。

https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html?icmpid=docs_sso_console

IAM Identity Center には組織インスタンスとアカウントインスタンスがありますが、この機能は組織インスタンスでのみ利用可能です。
さらに、アイデンティティソースにも気をつける必要があって、Okta などの外部 IdP が統合されている必要があります。
さらに、IAM Identity Center はデータを保管する際に KMS を利用しますが、マルチリージョンのカスタマーマネージドキーを使う必要があります。

設定してみる

アイデンティティソースを外部 ID プロバイダーに変更する

ということで設定してみましょう。
IAM Identity Center 設定画面の「管理」タブから設定が可能なのですが、アイデンティティソースがデフォルトの IAM Identity Center ディレクトリの場合は特に設定項目が見当たらないと思います。

image.png

ということでアイディンティティソースを変更しましょう。
ここの手順は割愛しますが、今回はアイデンティティソースに Microsoft Entra ID を統合しました。

86619264-DD75-4182-A157-B6AD88FCBED9.png

すると、次のように管理タブに「IAM Identity Center のリージョン」という設定エリアが表示されました。
なるほど!

909FE5AA-91D0-43D7-A2CE-C4B3526CBC3F.png

カスタマーマネージドキーに変更する

上記のようにデフォルトでは IAM Idetity Center はデータの保管にカスタマーマネージドキーを使用します。
AWS マネージドキーはマルチリージョンをサポートしていないので、カスタマーマネージドキーを使う必要があります。
まずは適当に作成したカスタマーマネージドキーを設定してみます。

image.png

ちょっとメッセージ変わったの、わかりますかね。
カスタマーマネージドキーではあるが、シングルリージョンキーが使われているのでダメだぞーと言われているのです。

ということでマルチリージョンキーを作りましょう。
マルチリージョンキーというのは KMS のオプションで複数の AWS リージョンにレプリケートできる KMS キーのことです。
KMS キー作成のときに詳細オプションで設定ができます。

8433F89C-5B9F-49BD-9D8B-1D1A8E568DE7_1_105_c.jpeg

マルチリージョンキーを設定しなおすと次のようにリージョンが表示されるようになりました。

D7B7CC62-2636-4543-9D3B-7A5E0760D00D_1_105_c.jpeg

やったね!

リージョンを追加する

つづいて、IAM Identity Center でサポートするリージョンを追加してみましょう。
私は普段バージニア北部リージョンで組織インスタンスを運用しています。
この時、東京リージョンを開くと次のように表示がされます。

4F0EE980-E37D-47F2-93CB-8D2B1FB7448C_1_105_c.jpeg

「IAM Identity Center のリージョン」パネルからリージョンを追加してみましょう。
こんな感じで追加リージョンの設定画面が表示されます、がリージョンの選択が出来ません。

BF0877C6-6E3A-40A7-BFD6-C6E71274D6FA.png

先程作成した KMS のマルチリージョンキーですが、キーを作成しただけではダメです。
マルチリージョンキーはリージョンを指定して明示的にレプリカキーを生成することが出来ます。これが必要です。
バージニア北部リージョンで作成したマルチリージョンキーの東京リージョンのレプリカキーを作成してみました。

86DF99EB-E9B3-41D2-AFF2-F04FF94A9EE2.png

すると IAM Identity Center 側でも追加リージョンに選択ができるようになりました。

196CEB64-2BC3-4D46-87C9-194FD704D67C.png

リージョン追加後の様子

追加すると、次のように対応リージョン一覧に表示されるようになります。
有効化まで数分かかります。どうやら URL などはリージョンごとに違うみたいですね。URLにリージョン名が含まれていました。

25A64FD9-09F1-4F02-9ED1-7B59CEEC2BED_4_5005_c.jpeg

この状態で東京リージョンにアクセスしてみると、IAM Identity Center を表示することが出来ます。すごい。

1EEAF27A-FA79-4929-82A8-86CF682A9B87_1_105_c.jpeg

ただ、すべての機能にアクセスできるわけではないみたいです。
ユーザー管理やアプリケーションの割り当て管理などにはこんな感じで通常どおり表示ができました。アプリケーションはカスタムアプリケーションもサポートしていましたね。

FEDC80A0-5475-4B0F-862E-B91DD1A2D270_1_105_c.jpeg

マルチアカウントのアクセス許可メニューはこんな感じで、プライマリリージョンを利用するようにメッセージが表示されました。

86E91782-7ABE-40BB-8AFF-B59856E2DD18.png

さいごに

本日は AWS IAM Identity Center がマルチリージョンをサポートしたようだったので、まずはセットアップしてみました。

コンプライアンス要件、地理的なパフォーマンス、リージョン指定が必要な AWS サービスなどに対応できるようになりそうです。
公式ドキュメントによると、ここからうまく活用するために複数の ACS URL を外部 IdP 側で設定するなどが必要みたいなのでそのあたりを次は試してみたいと思います。

この記事をシェアする

FacebookHatena blogX

関連記事

IAM Identity Center アカウントインスタンスを追加で有効化できない事象を回避するには
hato
2026.02.04
[小ネタ] IAM Identity Center の組織インスタンスとアカウントインスタンスの見分け方
hato
2026.01.07
OU (Organizations Unit) 再構成後に Temporary elevated access management (TEAM) for AWS IAM Identity Center のリクエスト作成時にアカウントが選択できなくなった
いわさ
2026.01.03
AWS IAM Identity CenterにXX日以上ログインしていないユーザーをQuick Suiteで可視化してみる
木村優太
2025.12.31