IAM ポリシー vs Identity Center 許可セット¶
DotID は、2つの異なるが関連する認可レイヤーを提供します: **IAM ポリシー**(AdminCenter で管理)と **許可セット**(Identity Center で管理)。この違いを理解することは、FlexGalaxy.AI プラットフォーム全体のアクセス制御を設計する上で不可欠です。
概要¶
IAM ポリシー (AdminCenter) |
許可セット (Identity Center) |
|
|---|---|---|
スコープ |
単一アカウント |
組織全体(クロスアカウント) |
対象プリンシパル |
IAM ユーザーとグループ(サービス ID) |
IDC ユーザーとグループ(実際の人) |
管理場所 |
AdminCenter ( |
Org Console ( |
アクセスモデル |
ユーザー/グループへの直接アタッチ |
アカウント割り当て(グループ + 許可セット + アカウント) |
認証情報の種類 |
アクセスキー(長期間有効、プログラマティック) |
一時セッション認証情報(短期間有効、フェデレーテッド) |
ユースケース |
単一アカウント内のサービス間 API アクセス |
コンソール経由で複数アカウントにアクセスする人 |
IAM ポリシー (AdminCenter)¶
IAM ポリシーは単一の アカウント 内に存在し、そのアカウント内で IAM ユーザー**(サービス ID)と **IAM グループ が何をできるかを制御します。
主要な概念:
マネージドポリシー — 複数のユーザーやグループにアタッチできる再利用可能な名前付きポリシードキュメント。プラットフォームマネージドポリシー(例:
AdministratorAccess)は読み取り専用です。マネージドポリシーセット を参照してください。インラインポリシー — 特定のユーザーまたはグループに直接埋め込まれたポリシードキュメント。再利用はできませんが、一回限りの権限に便利です。
許可境界 — アタッチされたポリシーに関係なく、IAM ユーザーまたはグループが持つことができる 最大 権限を設定する高度なガードレールです。
IAM ポリシーは次の質問に答えるものと考えてください:
「このサービスユーザーは自分のアカウント内で何ができるか?」
許可セット (Identity Center)¶
許可セットは 組織 に属し、**IDC ユーザー**(実際の人)がメンバーアカウントにアクセスする際に何ができるかを制御します。
許可セットは IAM ポリシーのバンドル です。例えば、AdministratorAccess 許可セットには AdministratorAccess マネージド IAM ポリシーが含まれています。
許可セットはユーザーに直接アタッチされません。代わりに、アカウント割り当て を通じて付与されます:
Account Assignment = IDC Group + Permission Set + Target Account
Example:
Group "Platform Admins"
+ Permission Set "AdministratorAccess"
+ Account "Production"
────────────────────────────
= Members of "Platform Admins" get full admin access
when they access the "Production" account
許可セットは次の質問に答えるものと考えてください:
「この人がそのアカウントにアクセスした時に何ができるか?」
両者の関係¶
許可セットと IAM ポリシーは独立ではなく、関連しています:
Organization Level (Identity Center)
┌──────────────────────────────────────────────────────┐
│ Permission Set: "ReadOnlyAccess" │
│ ├── IAMReadOnlyAccess (managed policy) │
│ ├── OrganizationReadOnlyAccess (managed policy) │
│ ├── AuditReadOnlyAccess (managed policy) │
│ └── QuotaCenterReadOnlyAccess (managed policy) │
│ │
│ Account Assignment: │
│ IDC Group "Auditors" ──┐ │
│ Permission Set ────────┤ │
│ Account "Production" ──┘ │
└──────────────────────────────────────────────────────┘
Account Level (AdminCenter)
┌──────────────────────────────────────────────────────┐
│ IAM User: "ci-deploy-bot" │
│ ├── Attached: AdministratorAccess (managed policy) │
│ └── Inline: custom deploy permissions │
│ │
│ IAM Group: "monitoring-agents" │
│ └── Attached: AuditReadOnlyAccess (managed policy) │
└──────────────────────────────────────────────────────┘
**同じマネージド IAM ポリシー**(例: AdministratorAccess、AuditReadOnlyAccess)が両方のレイヤーに存在します:
AdminCenter では、IAM ユーザー/グループに直接アタッチされます。
Identity Center では、許可セット内にバンドルされ、アカウント割り当てを通じて IDC グループに割り当てられます。
プラットフォームマネージド vs カスタマーマネージド¶
両方のレイヤーで、プラットフォームマネージド リソースと カスタマーマネージド リソースが区別されます:
プラットフォームマネージド |
カスタマーマネージド |
|
|---|---|---|
作成者 |
Platform (provisioned automatically) |
アカウント管理者 |
編集可能 |
いいえ(読み取り専用) |
はい |
削除可能 |
いいえ |
はい |
例 |
|
|
プラットフォームマネージドリソースはセンチネル PLATFORM アカウント(00000000-0000-0000-0000-000000000000)をオーナーとし、Flyway データベースマイグレーションを通じてシードされます。完全なリストは マネージドポリシーセット を参照してください。
AWS との対比¶
AWS に慣れている方向け:
概念 |
AWS の対応概念 |
FlexGalaxy |
|---|---|---|
IAM ポリシー |
IAM ポリシー (AdminCenter) |
|
IAM ユーザー |
IAM ユーザー(サービス ID) |
|
許可セット |
許可セット (Identity Center) |
|
アカウント割り当て |
アカウント割り当て |
|
IDC ユーザー |
IAM Identity Center ユーザー |
IDC ユーザー(実際の人) |
AWS マネージドポリシー |
|
プラットフォームマネージドポリシー ( |