IAM Identity Center の権限体系改善

見直し当時の課題

弊社では IAM Identity Center 自体は AWS Control Tower とまとめて導入済みでした。 組織規模が小さかった当時は、管理系アカウントのみを分離し、他は個別対応する最小限の運用で支障がありませんでした。しかし、ここ数年で開発組織の人数が倍以上に増加し、新規プロダクトの立ち上げやAmazon Bedrock を活用した生成 AI の利用が本格化しました。これにより AWS アカウントの用途が多様化し、管理すべき境界線が複雑になっていきました。場当たり的な個別対応を続けていれば、いずれ管理が破綻することが予見されたため、組織の成長に合わせた IAM Identity Center 権限体系の設計が必要となっていました。

どのような状態を目指したのか

IAM Identity Center は「誰が」、「どんな権限で」、「どのアカウントに」という 3つの要素を指定することで、利用可能な権限が確定します。今回の再設計では、このバリエーションを適切に押さえ、シンプルではあるが一定の統制が取れている状態を目指しました。

改善したかった課題はどれくらい解決されたか

一律に権限を付与していた以前の運用から、体系的な整理を行ったことで、組織として安心できる管理体制を実現できました。現在はあらかじめ定めた指針に沿って、シンプルながらも「守るべきところは守る」という統制の取れた運用が定着しています。

どのような成果が得られたか

権限体系の見直しと合わせて CloudFormation による IaC 化を実施したことで、新規アカウント発行時のグループ割り当てなどの作業が効率化されました。役割に応じたグループ整理により運用の迷いもなくなり、実務での負担が軽減されています。

中小規模な組織であったとしても、従来の IAM ユーザーの運用と比較すると十分な恩恵が受けられるAWSサービスです。運用の実態に合わせたシンプルな構成から始めて、組織の拡大に合わせて段階的に改善していくアプローチがよいと考えます。

今後は組織の成長に合わせて、現在は手動で行っているユーザー管理などの運用面についても、少しずつ仕組み化を進めていければと考えています。