IAMユーザーからIdentity Center へ移行した話 version2

Transcript

1. confidential 許可なき配布 ・ 参照はお断りしております IAM ユーザーから Id ent it y

   C ent er へ 移行した 話 木村情報技術株式会社 中原加寸美 Version 2

2. 中原 加寸美 - Kasumi Nakahara - 所属 木村情報技術株式会社 出身 佐賀県神埼市

   好きなAWSサービス Security Hub 趣味 着物 よく参加するJAWS Security-JAWS、クラウド女子会 JAWS-UG 山梨 着物でJAWS-UGイベントに出没します 2

3. A W S ア カ ウ ン ト へ の

   ユ ー ザ ー ア ク セ ス に は 何 を 使 っ て い ま す か ？

4. SAML2.0

5. I A M ユ ー ザ ー か ら I

   d e n t i t y C e n t e r へ 移 行 し た 事 例 を 紹 介 し ま す

6. IAM と Identity Center SSO 移行の背景 Identity Center への移行 権限の作成方針

7. IAM と Ide nt i t y Ce nt e

   r 9

8. IAM AWS の認証・認可を司るサービス 各AWSリソースへアクセス権限を付与できる ユーザー・グループ・ロールへ権限を付与し、各AWSリソースや ヒューマンユーザーへのアクセス制御を行うことができる 10

9. IAM Identity Center AWS の マ ル チ ア カ

   ウ ン ト 環 境 で 、 複 数 の AWS ア カ ウ ン ト 及 び ア プ リ ケ ー シ ョ ン に 対 す る ユ ー ザ ー の ア ク セ ス 権 を 管 理 す る サービス AWSアカウントへユーザー・ユーザーグループごとに権限セット を割り当てることができる 11

10. AWSアカウントへのログイン方法 12 IAMユーザー • AWSアカウント内のユーザー • マ ネ ジ メ

    ン ト コ ン ソ ー ル へ ア ク セ ス す る た め の 、 独 自 の パ ス ワ ー ド を 割り当てられる • AWS リ ソ ー ス に 対 す る 長 期 的 な 認証情報を付与できる • アクセスキー、Git認証情報 など IAM Identity Centerのユーザー • AWS ア カ ウ ン ト 組 織 内 、 ま た は 、 ア プ リ ケ ー シ ョ ン で ア ク セ ス を 許 可 されたユーザー • シングルサインオン（SSO）を実現できる • AWS リ ソ ー ス に 対 す る 短 期 的 な 認証情報が付与される

11. AWSアカウントへのログイン方法 13 IAMユーザー • AWSアカウント内のユーザー • マ ネ ジ メ

    ン ト コ ン ソ ー ル へ ア ク セ ス す る た め の 、 独 自 の パ ス ワ ー ド を 割り当てられる • AWS リ ソ ー ス に 対 す る 長 期 的 な 認証情報を付与できる • アクセスキー、Git認証情報 など IAM Identity Centerのユーザー • AWS ア カ ウ ン ト 組 織 内 、 ま た は 、 ア プ リ ケ ー シ ョ ン で ア ク セ ス を 許 可 されたユーザー • シングルサインオン（SSO）を実現できる • AWS リ ソ ー ス に 対 す る 短 期 的 な 認証情報が付与される

12. ベストプラクティス 2026年2月現在、AWSドキュメントへ以下のように記載されている 人間のユーザーが一時的な認証情報を使用して AWS にアクセスする場合に ID プロバイ ダーとのフェデレーションを使用することを必須とする 内容一部抜粋 一元的なアクセス管理を行うには、AWS

    IAM アイデンティティセンター (IAM Identity Center) を使用して、ご自 分のアカウントへのアクセスと、それらのアカウント内でのアクセス許可を管理することをお勧めします。 14

13. SSO 15

14. SSOを使うと、 １つの認証情報（ユーザー）で、複数のシステムにログインできる その認証情報が漏れたら全部に 入れちゃうから余計に危ないん じゃない？

15. SSOのメリット・デメリット ID/パスワードを1つにまとめることができるので、パスワードを使いまわす、簡単な パスワードにする、付箋などに書いておく、などのリスクが低減される。 一方、不正アクセスが発生した際は被害が拡大しやすいため、多要素認証（MFA）の 実装などを利用したセキュリティ強化が推奨されている。 18 メリット • ユーザーの利便性が高まる •

    管理者の負担が少なくなる • 情報漏洩リスクが低減される デメリット • 不 正 ア ク セ ス 時 に 被 害 が 拡 大 し やすい • システム停止でログインができない

16. 移 行 の 背 景 19

17. Organizations 移行の背景 数年前のAWSアカウントの状況 20 AWS Cloud A AWS Cloud B

    AWS Cloud E AWS Cloud F AWS Cloud C AWS Cloud D AWS Cloud G AWS Cloud H 管理者 各アカウント個別のIAMユーザーを発行し、管理していた

18. 課題 22 課題① アカウント数は１０を超え、 ユーザー管理が大変 課題② 各ユーザーでアクセスキーを 保持していたが、ローテーショ ンの運用もできていなかった セキュリティ推進チーム

    IAMユーザーからIdentity Center へ 移 行 す る 計 画 を 立てた

19. 移 行

20. 気を付けたこと こまめに周知する • IAMユーザーを利用しているユーザーは約百数十名 • 周知して進めないと混乱が生まれると想定された アンケート 掲示板 チャット

21. 移行時の動き ユーザー向け これ以外にも、必要な情報収集のためにヒアリングなどを行った 25 アンケート×2 掲示板×2 チャット チャット SSO運用へ移行計画中であることを 同時に周知した

    • 移行開始時期と内容の周知 • 移行開始の連絡

22. 移行時の動き 26 ユーザー権限の検討 権限の作成 運用手順書の作成 ユーザー発行・ 権限付与 Login

23. MFA設定の強制 こ れ ま で 設 定 し て い

    な か っ た MFA を このタイミングで利用開始 MFA設定手順書も別途作成した Identity Center で は 強 制 設 定 が 可能 ※右図は移行当時の画面キャプチャ 27

24. 権 限 の 作 成 方 針

25. 権限作成方針 開発作業を止めない 管理側でしてほしくないこと をできないようにする ガードレール 基本方針 利用者が手を止めることなく、セキュアに利用できる状態を目指す 権限作成方針

26. 権限の内容 https://speakerdeck.com/donnnn/organizationshuan-jing- noyuzaakusesunituitekao-eru 31 ダ イ ア グ ラ ム

    が 含 ま れ て い る 画 像 AI 生 成 コ ン テ ン ツ は 誤 り を 含 む 可 能 性 が あ り ま す 。

27. ま と め 32

28. まとめ ヒューマンユーザーアクセスは Identity Center などのフェデレーションが推奨されて いる SSOはユーザー、管理者ともに管理が楽になる また、MFAの導入などの対策が求められている 移行についてのポイント •

    こまめに周知し、混乱が生まれないように気を付ける 権限作成方針 • ガードレールの基本方針に沿って権限を作成する

29. 34 Thank you！