みなさん、こんにちは。小寺です。
IAM Identity Centerの設定を削除したくなったときのお話です。
検証用に有効化したのですが、別リージョンでも有効化しようとすると、地理的制限により一度に一つのAWSリージョンでしか有効化できないことが分かりました。最初は東京リージョンで有効していました。
別リージョンで設定を有効化したくなり、削除するのに若干はまったので、対処方法を共有したいと思います。
そもそも IAM Identity Center(AWS Single Sign-onの後継サービス)とは
IAM Identity Center(AWS Single Sign-onの後継サービス)とは、複数の AWS アカウントやアプリケーションへのSSOを実現できるマネージドサービスです。
AWS Organizations 内のすべてのアカウントに対する一元的なアクセスとユーザ管理ができます。また、 SAML2.0 がサポートされているので、IAM アイデンティティセンターを Okta Universal Directory またはサポートされている他の ID プロバイダー (IdP) に接続することが可能です。利用されるユーザは、元々使っている認証情報でログインができます。Microsoft Active Directory Domain Services (AD DS) とも連携をしています。AD側にユーザを追加するだけで、SSO機能が利用できます。
さらにMFAの機能の一元管理も行うことができます。サポート対象の SAML 2.0 IdP を ID ソースとして使用する場合は、プロバイダーから提供される多要素認証 (MFA) 機能を有効にできます。Active Directory または IAM アイデンティティセンターを ID ソースとして使用する場合、IAM アイデンティティセンターはウェブ認証仕様を使ってMFAが実装できます。
設定の削除と別リージョンでの有効化
AWS IAM Identity Center 設定を削除してみます。最初にアカウントの権限を他のAWSのOrganizationsのLinked Accountに委任している場合、削除ができないので、委任している設定を削除しました。
その後「管理」から「削除」をクリックします。
設定を削除しますか?のポップアップが表示されます。
再度Organizationsの管理アカウントで「有効化」をクリックします。
無事に別リージョンで有効化できました。
地理的な制限について(補足)
IAM Identity Center は、サービスを有効にするリージョンからのアクセスが必要です。今回のお話の通り1リージョンのみのサポートです。ただ、ユーザーが IAM Identity Center にサインインすると、IAM ID CenterのAWS アカウントからアクセスすれば、どのリージョンのリソースも操作することは可能です。
今回は検証環境なので、良かったのですが、別のリージョンで IAM ID センターを有効にするには、まず現在の IAM ID センター設定を削除し、別のリージョンに切り替えると、AWSアクセスポータルの URL も変わります。よって、すべてのアクセス権限セットと割り当てを再設定する必要があります。