IAM Identity CenterでのログインとCLI設定方法まとめ!初心者でもすぐに使える手順を完全解説
生徒
「IAM Identity Centerってどうやってログインするんですか?あと、CLIの設定方法もよく分からなくて…」
先生
「IAM Identity Centerでのログイン方法や、AWS CLIとの連携設定は最初は少しややこしく感じるかもしれませんね。でもステップ通りに進めれば、すぐに使えるようになりますよ。」
生徒
「ほんとですか?AWS CLIでログインとか難しそうです…」
先生
「それじゃあ、IAM Identity Centerの基本から、ログイン方法、CLIのセットアップまで順番に解説していきましょう!」
1. IAM Identity Centerとは?AWS IAMとの違いを理解しよう
IAM Identity Center(旧名:AWS SSO)は、複数のAWSアカウントやSaaSアプリケーションへのログインを一元管理できるサービスです。
AWS IAMと違って、ユーザーに直接IAMユーザーを作成せずに、シングルサインオン(SSO)でAWSアカウントへアクセス可能となる仕組みです。
組織内で複数のAWSアカウントを使っている場合でも、IAM Identity Centerでユーザーと権限を一括管理できるのが大きなメリットです。
2. IAM Identity Centerでのログイン手順
IAM Identity Centerを利用して、AWSにログインする方法を解説します。以下の手順で進めてください。
- AWS管理コンソールにログインし、IAM Identity Centerを開く
- ユーザーを追加(メールアドレスと名前で登録可能)
- 許可セットを作成し、IAMロールとポリシーを割り当てる
- ユーザーとAWSアカウントに、許可セットを割り当てる
- IAM Identity Centerからメールで送られてくるリンクにアクセスして、パスワードを設定
- その後、専用のログインポータル(SSO URL)にアクセスしてサインイン
ユーザーに割り当てた許可セットに応じて、AWSマネジメントコンソールへアクセスできるようになります。
3. AWS CLIでIAM Identity Centerを使う準備
AWS CLIでも、IAM Identity Centerを使ったログインが可能です。以下の準備を行いましょう。
AWS CLIのバージョン2が必要なので、以下のコマンドで確認します。
aws --version
バージョン2でない場合は、公式ドキュメントを参考に更新してください。
4. IAM Identity Center用のプロファイルを設定しよう
CLIでIAM Identity Centerにログインするには、aws configure ssoコマンドを使います。以下のように入力しましょう。
aws configure sso
すると、以下のような項目が順番に表示されます:
- SSOの開始URL(ログインポータルのURL)
- SSOリージョン(例:ap-northeast-1など)
- 使用するAWSアカウントと許可セット
- プロファイル名(任意)
設定が完了すると、以下のようなプロファイルが~/.aws/configに保存されます。
[profile my-sso-profile]
sso_start_url = https://d-1234567890.awsapps.com/start
sso_region = ap-northeast-1
sso_account_id = 123456789012
sso_role_name = ReadOnlyAccess
region = ap-northeast-1
output = json
5. CLIでIAM Identity Centerにログインしてみよう
設定が完了したら、次のコマンドでSSOログインを行います。
aws sso login --profile my-sso-profile
このコマンドを実行すると、ブラウザが自動で開き、IAM Identity Centerの認証ページが表示されます。ログイン後、CLIが認証情報を保存します。
これにより、aws s3 lsやaws ec2 describe-instancesなどのCLIコマンドを使用可能になります。
6. 複数プロファイルの使い分けと切り替え方法
複数のAWSアカウントを使っている場合、プロファイルを分けて設定することが可能です。
以下のように、異なるプロファイル名を使ってログインできます:
aws sso login --profile dev-account
aws sso login --profile prod-account
コマンド実行時も、プロファイルを明示して使うことができます。
aws s3 ls --profile dev-account
これにより、誤操作を防ぎながら、環境ごとの切り替えが簡単に行えるようになります。
7. IAM Identity CenterのSSOキャッシュと有効期限
CLIでログインすると、一時的な認証情報がキャッシュされます。
この認証情報は通常1時間(または許可セットで設定された有効期限)で失効します。再ログインする場合は、再度以下のコマンドを実行します:
aws sso login --profile my-sso-profile
セッションが切れた状態でコマンドを実行すると、エラーになりますので注意してください。
8. AWS IAM Identity CenterとAWS CLIの活用メリット
IAM Identity CenterとAWS CLIを連携することで、以下のようなメリットがあります:
- ユーザー管理が簡単になる
- AWSアカウント間の切り替えが楽になる
- セキュリティ強化(短期認証・最小権限の実現)
- 自動化やCI/CD環境への応用も可能
従来のIAMユーザー+アクセスキーよりも、IAM Identity Centerの方が安全性が高く、運用もしやすいのが現代的な運用スタイルです。
