本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。

最新の情報については、AWS 公式ドキュメントをご参照ください。

1. TEAM for AWS IAM Identity Center とは
2. 基本機能
3. 運用のポイント
4. デプロイ方法
5. デプロイ後のステップ
6. アンインストール
7. 利用者向けガイド
8. 管理者向けガイド
9. 承認者向けガイド
10. 監査者向けガイド
- 承認履歴を閲覧する
- セッションアクティビティを確認する
📖 まとめ

TEAM

Temporary elevated access management (TEAM) for AWS IAM Identity Center とは、AWS が提供するオープンソースソリューションで、ユーザーに一時的な管理者権限を付与するための仕組みです。

TEAM architecture

** 画像は TEAM の GitHub より引用

1.1. 公式ドキュメント

TEAMを理解する公式ドキュメントは次のとおりです。

Temporary elevated access management (TEAM)

GitHub

AWS Security Blog on 08 JUN 2023

builders.flash on 2025-05-01 | AWS Community Hero: 山口正徳氏)

1.2. 導入のメリット

TEAMを導入する主なメリットは以下の5つです。

常時管理者権限の排除
- 常設の管理者権限を削減し、必要な時だけ一時的に権限を付与することで、セキュリティリスクを最小化できます
承認ワークフローの実装
- 申請・承認プロセスを通じて、権限付与の透明性と説明責任を確保できます
監査証跡の自動記録
- すべての権限申請、承認、アクセスログが自動的に記録され、コンプライアンス要件に対応できます
柔軟なポリシー設定
- グループ、アカウント、OU単位で細かく権限申請のルールを設定でき、組織の要件に合わせた運用が可能です
運用コストの削減
- IAM Identity Centerと統合されているため、既存のユーザー管理基盤をそのまま活用でき、追加の認証基盤が不要です

1.3. 主なユースケース

本番環境へのアクセス管理
- 開発者やオペレーターが本番環境で作業する際に、一時的な管理者権限を申請・承認フローを通じて付与
緊急対応時の権限付与
- インシデント対応やトラブルシューティング時に、迅速かつ記録可能な形で必要な権限を付与
コンプライアンス対応
- SOC2、ISO27001などの監査要件に対応するため、すべての特権アクセスの記録と承認証跡を保持
職務分離の実現
- 申請者と承認者を分離し、自己承認を防止することで、内部統制を強化
マルチアカウント環境での権限管理
- AWS Organizationsと連携し、複数のAWSアカウントに対する一時権限を一元管理

TEAMは以下の主要な機能を提供します。

2.1. 権限申請機能

利用者（申請者）は、Webベースのアプリケーションから一時的な管理者権限を申請できます。

申請時に指定可能な項目は次のようなものがあります。

対象のAWSアカウント
付与する権限（IAM Identity Centerの許可セット）
アクセス開始時刻
アクセス期間（時間単位）
作業理由（Justification）
チケット番号（任意、または必須に設定可能）

申請後、設定された承認ポリシーに従って承認者に通知が送信されます。

2.2. 承認ワークフロー

承認者は申請内容を確認し、承認または拒否を判断します。

承認ワークフローの特徴は次のとおりです。

承認者は申請内容の詳細（誰が、どのアカウントに、何の権限を、いつまで、なぜ必要か）を確認可能
自己承認の防止: 承認者権限を持っていても、自分自身の申請は承認できない仕組み
承認ポリシーは、アカウントまたはOU単位で設定可能
承認が不要な設定も可能（開発環境など、リスクの低い環境向け）

2.3. 一時権限の自動付与・削除

承認された申請は、指定された開始時刻に自動的にIAM Identity Centerで権限が付与されます。

TEAMはサーバーレスアーキテクチャで構築されており、以下のAWSサービスが連携して一時権限のライフサイクルを自動管理します。

申請データの保存
- 承認された申請情報（開始時刻、終了時刻、対象アカウント、権限など）はAmazon DynamoDBに保存されます
権限の自動付与と削除
- AWS Step Functionsが権限のライフサイクル全体を管理します。
- Grant State Machineが起動し、IAM Identity Center APIを呼び出してアカウントアサインメント（Account Assignment）を作成します
- ユーザーはAWSアクセスポータルにログインすると、付与された権限で対象アカウントにアクセスできるようになります
時限制御による自動削除
- Step FunctionsのWaitステートが、指定された期間（duration）分の待機を実行します
  - 例: 8時間の申請なら28,800秒間待機
  - 待機中は課金が発生せず、効率的に期限を管理
- 待機期間が終了すると、自動的にRevoke State Machineが起動します
- IAM Identity Center APIを呼び出し、該当するアサインメントを削除します
- これにより、アクセス期間が終了すると自動的に権限が取り消されます
ワークフローの調整
- AWS Step Functionsが申請から承認、通知、権限付与までの一連のワークフローを統合的に管理します
- Amazon API Gateway + Lambdaがフロントエンド（Amplifyアプリ）からのリクエストを処理します
監査ログの記録
- すべての権限付与・削除操作はAWS CloudTrailに記録され、監査証跡として保持されます
- CloudTrail Lakeと統合することで、一時権限を使用したユーザーの操作履歴も追跡可能です

この自動化により、手動での権限管理が不要になり、人的ミス（権限の付けっぱなしなど）を防止できます。

2.4. 通知機能

申請や承認のステータス変化を、複数のチャネルで通知できます。

サポートされる通知方法は次のとおりです。

Eメール通知: Amazon SESを利用した電子メール通知
SNS通知: Amazon SNSトピックへの発行（Emailサブスクリプションやその他の統合が可能）
Slack通知: Slackチャンネルへのリアルタイム通知

通知は申請者、承認者の両方に送信され、承認待ちや承認完了などのステータスをタイムリーに把握できます。

2.5. 監査とコンプライアンス

すべてのアクセス履歴と操作ログが記録され、監査に対応できます。

監査機能は次のとおりです。

承認履歴の閲覧: すべての申請と承認/拒否の履歴を確認可能
セッションアクティビティログ: CloudTrail Lakeと統合し、一時権限でアクセスしたユーザーがどのAWSサービスにアクセスしたかを追跡
CSVエクスポート: 監査レポート作成のため、履歴データをCSV形式でダウンロード可能
読み取り専用の監査者ロール: 監査者は履歴を閲覧できるが、設定変更や承認操作はできない

2.6. ポリシー管理

管理者は柔軟にポリシーを設定し、組織のセキュリティ要件に合わせた運用が可能です。

申請者ポリシー（Eligibility Policy）
- 誰が（ユーザーまたはグループ）
- どのアカウント/OUに対して
- どの許可セットを
- 何時間まで申請可能か
- 承認が必要かどうか
承認者ポリシー（Approver Policy）
- どのアカウント/OUに対する申請を
- どの承認者グループが承認できるか

これらのポリシーにより、例えば「開発環境は承認不要で最大8時間」「本番環境は承認必須で最大4時間」といった柔軟な設定が可能です。

TEAMを効果的に運用するためのベストプラクティスと注意点を解説します。

3.1. コスト管理

TEAMアプリケーションの運用にかかる主なコストは以下の通りです。

主なコスト要素:

AWS Amplify: Webアプリケーションのホスティング費用（ビルド時間とデータ転送量に応じた従量課金）
Amazon Cognito: ユーザー認証の月間アクティブユーザー数に応じた課金
Amazon DynamoDB: 申請・承認データの保存（オンデマンドモードの読み書き料金）
AWS Lambda: 申請処理、承認処理、権限付与・削除処理の実行時間に応じた課金
CloudTrail Lake: セッションアクティビティログの保存（データ取り込みと保存期間に応じた課金）
Amazon SES: メール通知を利用する場合の送信料金

コスト最適化のポイント:

CloudTrail Lake EventDataStoreの保持期間を適切に設定（365日が推奨ですが、要件に応じて調整可能）
開発環境など頻繁にアクセスする環境は、承認不要で直接付与する設定を検討する（申請・承認のオーバーヘッドを削減）

💡 一般的な中小規模の組織（ユーザー数50名程度、月間申請数100件程度）であれば、月額コストは数十ドル程度。

3.2. モニタリング

TEAMアプリケーションの健全性と利用状況を継続的に監視することが重要です。

アプリケーションの可用性

AWS Amplifyのビルド状態とデプロイ状況を確認
Lambda関数のエラー率と実行時間をCloudWatch メトリクスで監視
DynamoDBのスロットリングエラーが発生していないか確認

利用状況の把握

月間の申請件数と承認率の推移
承認待ち時間の平均値（承認プロセスのボトルネック検出）
アカウント別、ユーザー別の申請頻度

セキュリティイベントの監視

拒否された申請の傾向（不正な申請の兆候）
期限切れになった申請の数（承認プロセスの遅延検出）
キャンセルされた申請の理由

推奨する監視方法

CloudWatch ダッシュボードを作成し、Lambda関数のエラー、DynamoDBのメトリクス、Amplifyのビルド状況を可視化
TEAMの監査者機能を活用し、定期的に承認履歴とセッションアクティビティをレビュー
SNS通知を有効化し、管理者がリアルタイムで申請状況を把握できるようにする

3.3. セキュリティ

TEAMを安全に運用するためのセキュリティベストプラクティスです。

1. 最小権限の原則

申請者ポリシーでは、必要最小限のアカウントと許可セットのみを申請可能にする
本番環境へのアクセスは必ず承認必須とし、非本番環境でも適切なポリシーを設定する
「AdministratorAccess」のような強力な権限は、真に必要な場合のみ申請可能にする

2. 承認プロセスの設計

本番環境の承認者は、技術とビジネスの両面から判断できる経験豊富なメンバーを選定する
承認者グループは複数名で構成し、単一障害点を避ける（一人が不在でも承認できる体制）
緊急時の対応手順を事前に定義し、承認者に周知しておく

3. 監査とレビュー

定期的（月次または四半期ごと）に承認履歴とセッションアクティビティを監査者がレビューする
異常なパターン（深夜の申請、長時間のアクセス、頻繁な申請）を検出し、必要に応じて調査する
CloudTrail Lakeのクエリを活用し、一時権限で実行された操作を詳細に追跡する

4. 設定の定期的な見直し

申請者ポリシーと承認者ポリシーを定期的に見直し、組織の変更に合わせて更新する
退職者や異動者のグループメンバーシップを迅速に削除する
最大申請期間の設定が適切か（長すぎないか）を定期的に確認する

5. バックアップと災害対策

TEAM管理アカウントのCloudFormationテンプレートとパラメータファイルをバージョン管理システムで管理する
DynamoDBのバックアップを有効化し、データ損失に備える
GitHub Personal Access Tokenは定期的にローテーションし、AWS Secrets Managerで安全に管理する

6. 通信のセキュリティ

TEAMアプリケーションはHTTPSで保護されており、IAM Identity Centerのフェデレーション認証を使用
Cognitoユーザープールは外部からの直接アクセスを防ぎ、IAM Identity CenterのSAML統合のみを許可する
必要に応じて、AWS WAFをAmplifyアプリケーションに適用し、不正アクセスから保護する

💡 セキュリティインシデントが発生した場合は、TEAMアプリケーションの監査ログとCloudTrail Lakeを活用し、影響範囲を迅速に特定できます。

TEAMアプリケーションをTEAM管理用のAWSアカウントへデプロイするまでを解説します。

デプロイの流れ

本ガイドで説明するデプロイの主な流れは以下の通りです。

デプロイ前準備
1. IAM Identity Centerの管理アカウントからTEAM管理アカウントへ管理の委任を行う
2. TEAMのGitリポジトリをCloneし、リポジトリにアクセスするためのpersonal access token (classic)を発行する
3. TEAMで使用するIAM Identity Centerのグループを作成する
デプロイ実施
1. デプロイ用のシェルを実行し、デプロイを行う
（Nextアクション ※本ガイド対象外）「02. Administrator Guide」に従い、設定を行う

デプロイ前準備

ステップ１： AWS IAM Identity Centerの管理アカウントからTEAM管理アカウントへの権限委任

see: TEAM Deployment guide

**IAM Identity Centerの管理アカウントから、**以下の委任を実行します。

CloudShellや、ローカルからコマンドで実行が可能です。ローカルから実行する場合は、コマンドの最後に、--profile xxxxx として管理アカウントのプロファイル名を指定します。

IAM Identity Center

aws organizations register-delegated-administrator \
  --account-id 111122223333 \
  --service-principal sso.amazonaws.com

# 無効化する場合
aws organizations deregister-delegated-administrator \
  --account-id 111122223333 \
  --service-principal sso.amazonaws.com

CloudTrail Lake

aws organizations register-delegated-administrator \
  --account-id 111122223333 \
  --service-principal cloudtrail.amazonaws.com

# 無効化する場合
aws organizations deregister-delegated-administrator \
  --account-id 111122223333 \
  --service-principal cloudtrail.amazonaws.com

Account management

aws organizations enable-aws-service-access \
  --service-principal account.amazonaws.com

aws organizations register-delegated-administrator \
  --account-id 111122223333 \
  --service-principal account.amazonaws.com

# 無効化する場合（有効化したときと逆の順番で無効化します）
aws organizations deregister-delegated-administrator \
  --account-id 111122223333 \
  --service-principal account.amazonaws.com

aws organizations disable-aws-service-access \
  --service-principal account.amazonaws.com

委任状況は以下のコマンドで確認します。

aws organizations list-delegated-services-for-account \
  --account-id 111122223333 \
  --output text

以下のように出力されます。

#DELEGATEDSERVICES       2023-06-29T14:17:46.624000+00:00        account.amazonaws.com
#DELEGATEDSERVICES       2023-06-25T15:11:09.553000+00:00        cloudtrail.amazonaws.com
#DELEGATEDSERVICES       2023-06-25T14:56:02.172000+00:00        sso.amazonaws.com

ステップ２：personal access token (classic) の作成とAWS Secrets Managerへの登録

see: TEAM Deployment guide

このTEAMアプリケーションをデプロイするフローの中で、GitHubリポジトリのソースを取得する必要があります。そのためのアクセストークンを発行します。

発行手順は、GitHub Docsのここを参照してください。

権限は以下のように、[repo]をすべて指定します。

⚠️　現状は、personal access token (classic)しか対応していません。そのため、アクセストークンは個人ユーザー管理になっています。（下記Issue参照）

Why classic GitHub tokens are required? https://github.com/aws-samples/iam-identity-center-team/issues/401

発行したアクセストークンをTEAM管理アカウントのシークレットマネージャーに登録します。

# 新規作成
SECRET_NAME="TEAM-IDC-APP"
aws secretsmanager create-secret \
    --name "$SECRET_NAME" \
    --description "GitHub repository credentials for TEAM application" \
    --secret-string '{"url": "https://github.com/your-repository-name/iam-identity-center-team.git", "AccessToken": "xxxxxxx"}' \
    --tags Key=Project,Value=YOUR_PROJECT_NAME Key=Env,Value="YOUR_ENV" \
    --region "ap-northeast-1"

# 更新する場合
aws secretsmanager update-secret \
    --secret-id "$SECRET_NAME" \
    --description "GitHub repository credentials for TEAM application" \
    --secret-string '{"url": "https://github.com/your-repository-name/iam-identity-center-team.git","AccessToken": "xxxxxxx"}' \
    --tags Key=Project,Value=YOUR_PROJECT_NAME Key=Env,Value="YOUR_ENV" \
    --region "ap-northeast-1"

ステップ３：TEAMで利用する IAM Identity Center グループの作成

TEAM管理アカウントのCloudShellまたは、プロファイル名を指定してローカルからAWS CLIにて実行します。

STORE_ID=$(aws sso-admin list-instances --query "Instances[0].IdentityStoreId" --output text --no-paginate)

aws identitystore create-group --output yaml \\
  --identity-store-id "${STORE_ID}" \\
  --display-name "TEAM-Users" \\
  --description "TEAM アプリケーションで一時的なアクセス権限をリクエストするユーザーグループ(開発者やオペレーターなど)"

aws identitystore create-group --output yaml \\
  --identity-store-id "${STORE_ID}" \\
  --display-name "TEAM-Approvers-Production" \\
  --description "TEAM アプリケーションで本番アカウントへのリクエストをレビュー・承認 / 拒否する権限を持つユーザーグループ。ただし、自身のリクエストは自身では承認できません"

aws identitystore create-group --output yaml \\
  --identity-store-id "${STORE_ID}" \\
  --display-name "TEAM-Approvers-NonProduction" \\
  --description "TEAM アプリケーションで本番アカウント以外へのリクエストをレビュー・承認 / 拒否する権限を持つユーザーグループ。ただし、自身のリクエストは自身では承認できません"

aws identitystore create-group --output yaml \\
  --identity-store-id "${STORE_ID}" \\
  --display-name "TEAM-Admins" \\
  --description "TEAM アプリケーションの設定管理・ユーザー管理・グループ設定などを行うユーザーグループ"

aws identitystore create-group --output yaml \\
  --identity-store-id "${STORE_ID}" \\
  --display-name "TEAM-Auditors" \\
  --description "TEAMアプリケーションのリクエスト履歴やアクセスログの確認・レビューを行うユーザーグループ (読み取り専用)"

作成したグループは以下のコマンドで確認できます。

aws identitystore list-groups --output table \\
  --identity-store-id "${STORE_ID}" \\
  --query "Groups[?starts_with(DisplayName, 'TEAM')].[DisplayName,GroupId,Description]"

以下のように表示されます

#-------------------------------------------------------------------------------------------------
#|ListGroups                          |
#+------------------------------+---------------------------------------+------------------------+
#|  TEAM-Approvers-Production   |  0744ba98-8031-70a4-061a-ada3cf44ca14 |  xxxxx       |||
#|  TEAM-Auditors               |  37549a08-5081-702d-0063-15540c1d1abe |  xxxxx       ||
#|  TEAM-Users                  |  4754aa28-9041-7094-5ccc-3f27cacb7e2e |  xxxxx       |||
#|  TEAM-Admins                 |  6774ea58-2061-7071-b591-8b4d3fd32f0a |  xxxxx       ||
#|  TEAM-Approvers-NonProduction|  f7e44ab8-6091-704c-4461-e6f241837f74 |  xxxxx       |||
#+------------------------------+---------------------------------------+-----------------------+

ステップ４：CloudTrail Lake EventDataStoreの作成

TEAM管理アカウントのCloudShellまたは、プロファイル名を指定してローカルからAWS CLIにて実行します。

EDS_NAME="TEAM-audit-logs"

aws cloudtrail create-event-data-store \
    --name "$EDS_NAME" \
    --multi-region-enabled \
    --organization-enabled \
    --retention-period 365 \
    --no-termination-protection-enabled \
    --tags-list Key=Project,Value=YOUR_PROJECT_NAME Key=Env,Value=YOUR_ENV \
    --region "ap-northeast-1"

削除するときは以下のコマンドを使用します。

aws cloudtrail delete-event-data-store \
    --event-data-store "$EDS_NAME" \
    --region "ap-northeast-1"

デプロイ

ステップ１：GitHubリポジトリのクローン

git clone https://github.com/aws-samples/iam-identity-center-team.git

ステップ２：デプロイ用パラメータの作成

すでにデプロイ用パラメータが作成済みの場合は本手順をスキップします。

cd deployment
cp -n parameters-dev.sh parameters_YOUR_ENV.sh

コピーしたデプロイ用パラメータファイルを修正します。

ステップ３：デプロイ実行

作成したデプロイ用パラメータファイルを使用してデプロイを実行します。

PARAMETERS_FILE=./parameters_YOUR_ENV.sh ./deploy_custom.sh

このデプロイを実行すると、下記２つのCloudFormationスタックが作成されます。「amplify-teamidcapp-main」スタックは「TEAM-IDC-APP」作成後、5分程度時間が経ってから作成されます。また、複数のスタックをネストしており、すべてのスタックが完了するまで15分くらいかかります。

TEAM-IDC-APP
amplify-teamidcapp-main-xxxxx

ステップ４：IAM Identity Center SAML Integrationの設定

see: TEAM Deployment guide

ステップ３ですべてのスタックが「CREATE_COMPLETE」になっていることを確認してから実行します。

以下のコマンドを実行します。

PARAMETERS_FILE=./parameters_YOUR_ENV.sh ./integration_custom.sh

実行すると、以下のURLが払い出されます。この値は次の手順で使用しますので、メモしておきます。

applicationStartURL: https://xxxxxx-main.auth.amazoncognito.com/authorize?client_id=xxxxxx&response_type=code&scope=aws.cognito.signin.user.admin+email+openid+phone+profile&redirect_uri=https://main.d1s8z5724fsfj7-.amplifyapp.com/&idp_identifier=team
applicationACSURL: https://xxxxxx-main.auth.amazoncognito.com/saml2/idpresponse
applicationSAMLAudience: urn:amazon:cognito:sp:us-east-1_xxxxxx

TEAM管理アカウントのAWSマネジメントコンソールから、[AWS IAM Identity Center console > Application assignment > Applications > Add application] を開きます。

[設定するアプリケーションがある > SAML 2.0] を選択し、[次へ]をクリックします
以下を設定します。
- 表示名: TEAM IDC APP
- 説明: Temporary elevated access management (TEAM) for AWS IAM Identity Center
「IAM Identity Center メタデータ」のIAM Identity Center SAML メタデータファイルのURLはAmazon Cognitoの設定で必要ですので、メモしておきます。
- IAM Identity Center SAML メタデータファイル: https://portal.sso.ap-northeast-1.amazonaws.com/saml/metadata/xxxxxxxx
[Application start URL]に先ほどシェルの実行で表示されたapplicationStartURLの値を入力します。
[Application Metadata]では、applicationACSURLとapplicationSAMLAudienceの値を入力します。
- applicationACSURL: https://xxxxxx-main.auth.ap-northeast-1.amazoncognito.com/saml2/idpresponse
- applicationSAMLAudience: urn:amazon:cognito:sp:ap-northeast-1_xxxxxx
作成したアプリケーションを開きます。
[アクション＞属性マッピング]を開きます。
- SubjectとEmailを設定します。
  - 参考: https://aws-samples.github.io/iam-identity-center-team/docs/deployment/configuration/idc.html#configure-attribute-mapping
  - Subject - ${user:subject} - persistent
  - Email - ${user:email} - basic
- [変更の保存]をクリックし、保存します。
[割り当てられたユーザーとグループ]にTEAM用のグループ(TEAM-で始まるグループ名)をすべて割り当てます。
- ⚠️ アプリケーションにグループを割り当ててもグループのメンバーとして登録されていなければ、アプリケーションを利用できません。「02. Administrator Guide」を参照し、グループにメンバーを割り当ててください。
- ⚠️ グループに割り当てても、AWS access portalをログアウトしてから再ログインするまで、アプリケーションが表示されない場合があります。表示されない場合は、ログアウトしてください。

ステップ５：Amazon Cognitoの設定

see: TEAM Deployment guide

以下のコマンドでコピーしたJSONファイルを開き、MetadataURLにIAM Identity Center SAML メタデータファイルのURLを記載します。すでにファイルが存在する場合は、そのまま編集してください。

cd deployment
cp -n details_dev.json details_YOUR_ENV.json

JSONファイルは以下のようになっています。

{
    "MetadataURL": "https://portal.sso.ap-northeast-1.amazonaws.com/saml/metadata/xxxxxxxxxxxxxxxx"
}

以下のコマンドで設定を実行します。

PARAMETERS_FILE=./parameters_YOUR_ENV.sh ./cognito_custom.sh

画面出力が複数行でますので、コンソール画面ではqを押して表示を終了させます。

ステップ６：Amazon SESの設定

see: TEAM Deployment guide

see: https://aws-samples.github.io/iam-identity-center-team/docs/deployment/configuration/notifications.html#email-notification-via-amazon-ses

TEAM管理アカウントのAWSマネジメントコンソールから、[Amazon SES > 設定: ID]を開きます。

[IDの作成]
[ドメイン]を選択し、ドメイン名にexample.comを入力します。
Easy DKIMを選択し、キーの長さをRSA_2048_BITに指定します。
[DNS レコードの発行]の3レコードをRoute 53のホストゾーンへ設定します。
[ID ステータス]が検証保留中から検証済みになるまで待機します。

「02. Administrator Guide」に従い、設定を行います。

TEAMアプリケーションをアンインストールする手順です。destroy_custom.sh を実行することでデプロイ時に作成したスタックが削除されます。

ただし、Amplify デプロイメントの S3 バケットが削除されないため、手動での削除が必要です。s3バケット名の形式はamplify-teamidcapp-main-xxxx-deploymentです。

see: TEAM Deployment guide

ステップ１：アンインストール

カレントディレクトリがdeployment ではない場合は移動します。

cd deployment

以下のコマンドでアンインストールを実行します。

PARAMETERS_FILE=./parameters_YOUR_ENV.sh ./destroy_custom.sh

deployimage02

：

deployimage03

AWSマネジメントコンソールで、[CloudFormation]にアクセスすると、「DELETE_IN_PROGRESS」となり、削除が実施されます。

deployimage04

⚠️アンインストール前に、権限委任の解除が実施されていると「CloudTrail Lake EventDataStore」の削除が権限不足で失敗し、スタックの削除にも失敗します。この場合、リソースは残したうえでスタックの強制削除を行ってください。残ってしまった「CloudTrail Lake EventDataStore」は、IAM Identity Centerの管理アカウント上から手動で削除します。

ステップ２：S3バケットの削除

S3バケットを削除します。

deployimage05

TEAM管理アカウントのCloudShell上に貼り付けて実行します。

aws s3api list-buckets \
  --query "Buckets[?starts_with(Name, 'amplify-teamidcapp-main-')].Name" \
  --output text | \
tr '\t' '\n' | \
while read -r BUCKET_NAME; do
  echo "バケットを削除中: ${BUCKET_NAME}"
  # 1. 通常のオブジェクトを削除
  echo "  - オブジェクトを削除中..."
  aws s3 rm "s3://${BUCKET_NAME}" --recursive > /dev/null 2>&1
  
  # 2. すべてのバージョンと削除マーカーを削除
  echo "  - すべてのバージョンを削除中..."
  aws s3api list-object-versions \
    --bucket "${BUCKET_NAME}" \
    --output json \
    --query '{Objects: Versions[].{Key:Key,VersionId:VersionId}}' 2>/dev/null | \
  jq -c 'if .Objects then . else empty end' | \
  while read -r DELETE_JSON; do
    if [ "$DELETE_JSON" != "" ] && [ "$DELETE_JSON" != '{"Objects":null}' ]; then
      aws s3api delete-objects \
        --bucket "${BUCKET_NAME}" \
        --delete "$DELETE_JSON" > /dev/null
    fi
  done
  
  # 3. 削除マーカーを削除
  echo "  - 削除マーカーを削除中..."
  aws s3api list-object-versions \
    --bucket "${BUCKET_NAME}" \
    --output json \
    --query '{Objects: DeleteMarkers[].{Key:Key,VersionId:VersionId}}' 2>/dev/null | \
  jq -c 'if .Objects then . else empty end' | \
  while read -r DELETE_JSON; do
    if [ "$DELETE_JSON" != "" ] && [ "$DELETE_JSON" != '{"Objects":null}' ]; then
      aws s3api delete-objects \
        --bucket "${BUCKET_NAME}" \
        --delete "$DELETE_JSON" > /dev/null
    fi
  done
  
  # 4. バケット自体を削除
  echo "  - バケットを削除中..."
  aws s3api delete-bucket --bucket "${BUCKET_NAME}"
  
  if [ $? -eq 0 ]; then
    echo "✓ 削除成功: ${BUCKET_NAME}"
  else
    echo "✗ 削除失敗: ${BUCKET_NAME}"
  fi
done

ステップ３：IAM Identity Center から TEAM アプリの削除

TEAM管理アカウントのAWSマネジメントコンソールを開きます
IAM Identity Centerコンソールにアクセスします
左ペインから、[アプリケーションの割り当て＞アプリケーション]を選択します
[カスタマー管理]タブを開きます
削除したいアプリケーションを選択し、右上の[アクション > 削除]を選択します
削除確認を行い、削除を実行します

⚠️　ステップ４を先に実行した場合はエラーになります。このエラーは、グループとの紐づけ情報が不正になっているためですので、「割り当てられたユーザーとグループ」をすべて削除することで、削除できるようになります。

ステップ４：TEAMで利用していた IAM Identity Center グループの削除

TEAM管理アカウントのCloudShell上に貼り付けて実行します。

STORE_ID=$(aws sso-admin list-instances --query "Instances[0].IdentityStoreId" --output text --no-paginate)

# 各グループを削除
aws identitystore list-groups \
  --identity-store-id "${STORE_ID}" \
  --output json | \
jq -r '.Groups[] | select(.DisplayName | startswith("TEAM-")) | "\(.GroupId)\t\(.DisplayName)"' | \
while IFS=$'\t' read -r GROUP_ID GROUP_NAME; do
  echo "グループを削除中: ${GROUP_NAME} (ID: ${GROUP_ID})"
  aws identitystore delete-group \
    --identity-store-id "${STORE_ID}" \
    --group-id "${GROUP_ID}"
  
  if [ $? -eq 0 ]; then
    echo "✓ 削除成功: ${GROUP_NAME}"
  else
    echo "✗ 削除失敗: ${GROUP_NAME}"
  fi
done

deployimage11

TEAM用IAM Identity Centerグループ定義例

役割名	主な役割	グループ名
申請者	TEAM アプリケーションで一時的なアクセス権限をリクエストするユーザーグループ(開発者やオペレーターなど)	TEAM-Users
承認者	TEAM アプリケーションで本番アカウントへのリクエストをレビュー・承認 / 拒否する権限を持つユーザーグループ。ただし、自身のリクエストは自身では承認できません	TEAM-Approvers-Production
承認者	TEAM アプリケーションで本番アカウント以外へのリクエストをレビュー・承認 / 拒否する権限を持つユーザーグループ。ただし、自身のリクエストは自身では承認できません	TEAM-Approvers-NonProduction
管理者	TEAM アプリケーションの設定管理・ユーザー管理・グループ設定などを行うユーザーグループ	TEAM-Admins
監査者	TEAMアプリケーションのリクエスト履歴やアクセスログの確認・レビューを行うユーザーグループ (読み取り専用)	TEAM-Auditors

TEAMアプリケーションを利用したAWSアカウントへの一時アクセス許可申請を行う方法を説明します。

TEAMアプリケーションにログインする

AWSアクセスポータルを開きます
アプリケーションタブを開きます
「TEAM IDC APP」のアプリケーションが表示されていることを確認し、クリックします ⚠️　「TEAM IDC APP」が表示されていない場合は、TEAM管理者に連絡し、アクセス権限を付与してもらってください。
[Federated Sign In] ボタンをクリックします
[IDC]ボタンをクリックします。AWSマネジメントコンソールにログインするユーザーで認証が行われます
TEAMアプリケーションのトップページが表示されます

一時アクセス許可の申請を行う

see: TEAM Requestor guide

TEAMアプリケーションのトップページにある[TEAM Requests]からActions[Create TEAM request]または、左ペインの[Requests]から[Create request]を選択します
リクエストフォームが表示されます
以下の項目を入力します
- 【変更不可】 Email：ログインしているユーザーのメールアドレスが表示されています
- 【必須】 Account：一時アクセスを申請したいAWSアカウントをリストから選択します
- 【必須】 Role：一時アクセスのロールをリストから選択します
- 【必須】 Start time：一時アクセスを開始する日時を指定します。デフォルトは現在日時となっていますので、忘れずに変更してください
- 【必須】 Duration：一時アクセスが許可される時間を数字で指定します。上記[Start time]から何時間作業する予定なのか入力します。
  - ⚠️　TEAM管理者によって最大作業時間が指定されています。最大9時間が指定されている場合、「10」と入れようとすると「0」が入力できずにエラーになります。設定された最大作業時間を超える申請が必要な場合は、TEAM管理者に連絡してください。す
- 【任意】Ticket no：今回の申請に関係するチケット番号を入力します
- 【必須】Justification：今回の申請に関する理由を入力します。できるだけ明確に理由を入力してください
[Submit]ボタンをクリックし、申請を実施します
申請の状況を確認する場合は、次の手順「申請のステータスを確認する」を実施します

申請のステータスを確認する

see: TEAM Requestor guide

左ペインの[Requests]から[My requests]を選択します
申請の一覧を確認します。ステータスが「pending」になっているものは承認待ちです。承認が完了すると「approved」になります。す
- pending：申請は承認待ちです
- approved：申請が許可されました
- rejected：申請が拒否された
- cancelled：申請をキャンセルされました
詳細を確認したい場合は、確認したい申請を選択し、[View details]をクリックします

💡　申請ステータスが「approved」になっている場合、申請時に指定した[Start time]以降にAWSアクセスポータルを表示すると、申請したAWSアカウントが表示されるようになります。表示されない場合は、TEAM管理者に連絡してください。

⚠️　アクセス有無にかかわらず、申請した作業時間が過ぎた場合は自動的にアクセス許可が削除されます。

申請をキャンセルする

see: TEAM Requestor guide

「申請のステータスを確認する」の手順で、申請の一覧を表示します
キャンセルしたい申請をクリックし、[View details]をクリックします
[Cancel request]ボタンをクリックしますす

⚠️　一度キャンセルした申請は、もとに戻すことはできません。再度申請を行ってください。

TEAMアプリケーション管理者を追加または削除する

初期構築時点では、IAM Identity Centerで定義されている「TEAM-Admins」グループに登録されている人が、TEAMアプリケーションを管理できます。

TEAMアプリケーション管理者はAdministrationメニューにある以下のことが実施できます。

Approver policy
- 承認者ポリシーの管理
Eligibility policy
- 申請者ポリシーの管理
Settings
- TEAMアプリケーションの全般的な設定の管理

⚠️　「管理者グループ」に所属するメンバーであっても、「承認者グループ」に割り当てない限り、申請承認の操作を行うことはできません。

「TEAM管理用AWSアカウント」で、AWSマネジメントコンソールを開きます
最近アクセスしたサービスまたは、検索から[IAM Identity Center]コンソールを開きます
左ペインから、[グループ]を選択します
「TEAM-Admins」のグループを検索してクリックし、グループの詳細を開きます
[ユーザーをグループに追加]から、ユーザーを追加または削除します

⚠️　グループにユーザーを追加した直後は、AWSアクセスポータルの画面にTEAMアプリケーションが表示されないことがあります。その場合は、AWSアクセスポータルの画面でログオフし、再度ログインを行ってください。

TEAMアプリケーション監査者を追加または削除する

初期構築時点では、IAM Identity Centerで定義されている「TEAM-Auditors」グループに登録されている人が、TEAMアプリケーションでの申請承認履歴やアクティビティを参照できます。

TEAMアプリケーション管理者はAuditメニューにある以下のことが実施できます。

Approvals
Elevated access

TEAMアプリケーション監査者を追加する手順は、「TEAMアプリケーション管理者」と同様となりますのでそちらを参照してください。「TEAM-Auditors」に対してユーザーを追加または削除します。

申請者管理

TEAMアプリケーションを使って申請できる人を追加または削除する

初期構築時点では、IAM Identity Centerで定義されている「TEAM-Users」グループに登録されている人が、TEAMアプリケーションを利用できます。

TEAMアプリケーションの利用可否を制御するには、このグループにメンバーを追加または削除します。

TEAMアプリケーション監査者を追加する手順は、「TEAMアプリケーション管理者」と同様となりますのでそちらを参照してください。「TEAM-Users」に対してユーザーを追加または削除します。

TEAMアプリケーションの申請者グループを追加、削除する

次の手順「申請者ポリシーを管理する」にあるように申請者グループに対して、アカウントやOUの単位で、どの許可セットが申請可能か、といった細かい制御が可能です。

複数の申請者グループで管理を細分化したい場合は、IAM Identity Centerでグループを作成してください。

申請者ポリシーを管理する

see: TEAM Administrator guide

申請者のグループごとにAWSアカウントまたは、OU単位で、申請時に選択可能な権限（許可セット）や承認フローが必須かどうかを設定できます。

初期構築時点では、「TEAM-Users」のグループが[アカウント指定＋許可セット＋承認必須]という定義になっています。

⚠️　対象アカウントを指定しているので、AWSアカウントを追加した場合は、修正が必要です。

💡　OU単位でのポリシーを作成すると、AWSアカウントの増減に対するメンテナンスは必要なくなりますが、広い範囲での申請が可能になってしまいます。

左ペインの[Administration]から[Eligibility policy]を選択します
[Add approvers]ボタンまたは、既存のポリシーを選択し[Actions]から[Edit]を選択します
以下を設定します
- Entity type：UserかGroupをリストから選択します。ユーザー単位でも定義できますが、グループ単位での管理を推奨します。
- Ticket No：作業を紐づけるチケット番号がある場合は入力します
- Accounts：申請可能なAWSアカウントをリストから選択します。複数選択が可能です
- OUs：OU単位で許可する場合は、許可するOUを選択します。複数選択が可能です
- Permission：許可セットをリストから選択します。複数選択が可能です
- Max duration：一時アクセスの作業時間を数字で指定します
  - 💡　[Administration>Settings]で「Maximum request duration」を超える値の設定が可能です
- Approval required：申請の承認が必須かどうかを選択します
  - ⚠️　[Administration>Settings]で「Approval workflow」を Not requiredにした場合は、この設定に関係なく承認不要になります。
[Add eligibility policy]をクリックして保存します

承認管理

承認ポリシーを管理する

see: TEAM Administrator guide

see: https://aws-samples.github.io/iam-identity-center-team/docs/guides/admin.html#configure-approver-policy

左ペインの[Administration]から[Approver policy]を選択します
[Add approvers]ボタンまたは、既存のポリシーを選択し[Actions]から[Edit]を選択します
以下を設定します
- Entity type：[Organizational Unit]か[Account]をリストから選択します。
- Accounts：「Entity type」に[Account]を選択した場合に表示されます。申請可能なAWSアカウントをリストから選択します。複数選択が可能です
- OUs：「Entity type」に[Organizational Unit]を選択した場合に表示されます。OU単位で許可する場合は、許可するOUを選択します。複数選択が可能です
- Ticket No：作業を紐づけるチケット番号がある場合は入力します
- Approver Groups：承認者グループをリストから選択します。複数選択が可能です
[Add approvers]をクリックして保存します

⚠️　複数アカウント×複数承認グループを設定すると、ポリシーはそれぞれの組み合わせごとに分割されます。修正する場合は、個別に実施する必要があります。

その他設定

see: TEAM Administrator guide

see: https://aws-samples.github.io/iam-identity-center-team/docs/guides/admin.html#configure-team-settings

左ペインの[Administration]から[Settings]を選択します
設定画面が開きます
[Edit]ボタンをクリックします
必要箇所を変更します（変更箇所は後述の手順に従います）

申請に対する承認を有効または無効に変更する

ここで申請承認を無効にすると、TEAMアプリケーション全体で承認が不要になります。

申請承認を有効にすると、申請者ポリシーで指定した動作に従って承認の有無が判断されます。

「Approval workflow」をRequiredかNot requiredに変更します
[Submit]ボタンをクリックして保存します

申請時のコメント入力を必須または任意に変更する

「Comments」をRequiredかNot requiredに変更します
[Submit]ボタンをクリックして保存します

申請時のチケット番号入力を必須または任意に変更する

「Require ticket number」をRequiredかNot requiredに変更します
[Submit]ボタンをクリックして保存します

一時権限の最大利用可能時間を設定する

ここで指定した時間を超える利用時間で申請ができなくなります。

Maximum request durationに期限切れとなる[時間]を数字で入力します
[Submit]ボタンをクリックして保存します

未承認リクエストの期限切れとなる時間を設定する

未承認リクエストは指定した時間を過ぎると期限切れとなり、再申請が必要になります。

「Request expiry timeout」に期限切れとなる[時間]を数字で入力します
[Submit]ボタンをクリックして保存します

Eメールによる申請通知を有効にする

「Send Email notifications」をONに変更します
Source emailを入力します
[Submit]ボタンをクリックして保存します

SNSによる申請通知を有効にする

「Send SNS notifications」をONに変更します
[Submit]ボタンをクリックして保存します

⚠️　SNSはTEAMアプリケーションデプロイ時に作成されています。通知を受信するにはTEAM管理用AWSアカウントのマネジメントコンソールから、「Simple Notification Service」を開き TeamNotifications-main のトピックへのサブスクリプション登録を行ってください。

Slackによる申請通知を有効にする

「Send Slack notifications」をONに変更します
あらかじめSlack通知用のアプリケーションを作成しておく必要があります
Slack OAuth tokenとSlack Audit Channelを入力します
[Submit]ボタンをクリックして保存します

申請を承認する

左ペインの[Approvals]から[Approve requests]を選択します
自身が承認しなければならない申請の一覧が表示されます ⚠️　自分で行った申請は、承認者権限があったとしても一覧に表示されません
申請内容を確認する場合は、申請を選択し[View details]をクリックします
申請を承認する場合は、申請を選択し、[Actions]から[Approve]を選択します
コメントを入力し、[Confirm]ボタンをクリックします
承認した履歴を確認する場合は、「自身が実施した承認履歴を確認する」を参照してください

申請を否認する

「申請を承認する」の手順と同様ですが、手順4で[Actions]から[Reject]を選択します。

自身が実施した承認履歴を確認する

左ペインの[Approvals]から[My approvals]を選択します
承認を行った履歴が表示されます
承認の内容を確認したい場合は、確認したい承認を選択し、[View details]ボタンをクリックします
承認履歴をダウンロードしたい場合は、[Download]ボタンをクリックすることでCSVファイルがダウンロードできます

TEAMアプリケーションの申請やセッションのアクティビティ等の監査を行う方法を説明します。

承認履歴を閲覧する

see: TEAM Auditor guide

[Adit]メニューより、[Approvals]を選択します
承認一覧が表示されているので確認します
詳細を確認したい場合は、確認したい履歴を選択し、[View Details]ボタンをクリックします
表示数や項目を変更したい場合は、⚙アイコンをクリックして変更します
必要に応じて、[Download]ボタンからCSVファイルをダウンロードして確認します

セッションアクティビティを確認する

see: TEAM Auditor guide

[Audit]メニューより、[Elevated access]を選択します
セッションの一覧が表示されます
詳細を確認したい申請を選択し、[View Details]ボタンをクリックします
[Session Logs]を展開すると、接続したセッションの一覧を表示できます。どのサービスにアクセスしたのかといったレベルで確認することができます。
必要に応じて、[Download]ボタンからCSVファイルをダウンロードして確認します

本記事では、AWS IAM Identity Center向けの一時的な権限昇格管理ソリューション「TEAM（Temporary Elevated Access Management）」について、導入から運用までを包括的に解説しました。

TEAMの主な特徴

TEAMは、AWSが提供するオープンソースソリューションとして、以下の特徴を備えています。

ゼロスタンディング特権の実現: 常設の管理者権限を排除し、必要な時だけ一時的に権限を付与することで、セキュリティリスクを最小化
承認ワークフローの統合: 申請・承認プロセスを通じて、すべての特権アクセスに説明責任と透明性を確保
完全な監査証跡: すべての申請、承認、アクセスログが自動的に記録され、コンプライアンス要件に対応
IAM Identity Centerとのシームレスな統合: 既存のユーザー管理基盤をそのまま活用でき、追加の認証基盤が不要

導入効果

TEAMを導入することで、以下のような効果が期待できます。

セキュリティの向上
- 常時付与された強力な権限が減少し、攻撃者に悪用されるリスクが低下
- すべての特権アクセスに承認と記録が伴うため、内部不正の抑止効果
- 権限の有効期限が自動的に管理され、権限の付けっぱなしを防止
コンプライアンス対応
- SOC2、ISO27001、PCIDSSなどの監査基準に対応した特権アクセス管理の実現
- すべてのアクセスに対する「誰が、いつ、なぜ、何をしたか」の完全な記録
- CloudTrail Lakeとの統合により、特権アクセス時の操作を詳細に追跡可能
運用効率の向上
- Webベースのダッシュボードにより、申請から承認までをスムーズに処理
- IAM Identity Centerとの統合により、既存のユーザー管理プロセスをそのまま活用
- 自動化された権限付与・削除により、手動作業のミスと負荷を削減

導入時の検討ポイント

TEAMを導入する際は、以下の点を考慮してください。

組織のポリシー設計

どのアカウント/環境で承認を必須とするか（本番環境は必須、開発環境は任意など）
承認者をどのように配置するか（本番と非本番で承認者グループを分けるなど）
最大申請期間をどの程度に設定するか（セキュリティと利便性のバランス）

運用体制の整備

承認者の選定と教育（承認基準、緊急時の対応手順など）
監査者の配置と定期的なレビュープロセスの確立
ユーザーへの利用ガイドの提供と教育

既存システムとの統合

既存のチケットシステムとの連携（チケット番号の必須化など）
Slackなどのコラボレーションツールとの通知連携
監視・アラートシステムとの統合

次のステップ

TEAMを導入した後は、以下のステップで継続的に改善していくことをお勧めします。

初期運用の観察: 導入後1〜3ヶ月は、申請・承認の頻度やパターンを観察し、ポリシーが適切か確認する
ユーザーフィードバックの収集: 申請者と承認者からフィードバックを集め、運用上の課題を特定する
ポリシーの最適化: 観察結果に基づいて、申請者ポリシーと承認者ポリシーを調整す
監査プロセスの確立: 定期的な監査レビューのプロセスを確立し、異常なアクセスパターンを検出する

参考リソース

TEAMに関するさらに詳しい情報は、以下の公式リソースを参照してください。

TEAMは、AWS環境におけるゼロスタンディング特権の実現と、特権アクセス管理の自動化・可視化を実現する強力なソリューションです。本記事が、皆様のセキュリティ向上とコンプライアンス対応の一助となれば幸いです。