IAMユーザーからSSOに移行した話

confidential 許可なき配布・参照はお断りしております IAM ユーザーから IIC へ移行した話木村情報技術株式会社中原加寸美

中原加寸美 - Kasumi Nakahara - 所属木村情報技術株式会社出身佐賀県
好きなAWSサービス Security Hub 趣味着物着物でJAWS-UGイベントに出没します 2

A W S アカウントへの
ユーザーアクセスには何を使っていますか？

I A M ユーザーから I
I C へ移行した事例を紹介します

アジェンダ • IAM と Identity Center • 移行の背景 • Identity
Center への移行 • 権限の作成方針

IAM と Ide nt i t y Ce nt e
r 9

IAM AWS の認証・認可を司るサービス各AWSリソースへアクセス権限を付与できるユーザー・グループ・ロールへ権限を付与し、各AWSリソースやヒューマンユーザーへのアクセス制御を行うことができる 10

IAM Identity Center AWS のマルチアカ
ウント環境で、複数の AWS アカウント及びアプリケーションに対するユーザーのアクセス権を管理するサービス AWSアカウントへユーザー・ユーザーグループごとに権限セットを割り当てることができる 2022 年 7 月に AWS Single Sign-On （ＳＳＯ）から AWS IAM Identity Center へ名称変更された 11

AWSアカウントへのログイン方法 12 IAMユーザー • AWSアカウント内のユーザー • マネジメ
ントコンソールへアクセスするための、独自のパスワードを割り当てられる • AWS リソースに対する長期的な認証情報を付与できる • アクセスキー、Git認証情報など IAM Identity Centerのユーザー • AWS アカウント組織内、または、アプリケーションでアクセスを許可されたユーザー • シングルサインオン（SSO）を実現できる • AWS リソースに対する短期的な認証情報が付与される

ベストプラクティス 2025年9月現在、AWSドキュメントへ以下のように記載されている Require human users to use federation with an
identity provider to access AWS using temporary credentials ⇒ 一時認証を使ってAWSへアクセスする場合、人間のユーザーはIDプロバイダーのフェデレーションを必須とする 14 IAM ユーザーでユーザーアクセスを利用しようとすると、Identity Center の利用を推奨される

移行の背景 15

Organizations 移行の背景数年前のAWSアカウントの状況 16 AWS Cloud A AWS Cloud B
AWS Cloud E AWS Cloud F AWS Cloud C AWS Cloud D AWS Cloud G AWS Cloud H 管理者各アカウント個別のIAMユーザーを発行し、管理していた

課題 18 課題① アカウント数は１０を超え、ユーザー管理が大変課題② 各ユーザーでアクセスキーを保持していたが、ローテーションの運用もできていなかったセキュリティ推進チーム
IAMユーザーからIICへ移行する計画を立てた

移行

気を付けたことこまめに周知する • IAMユーザーを利用しているユーザーは約百数十名 • 周知して進めないと混乱が生まれると想定されたアンケート掲示板チャット

移行時の動きユーザー向けこれ以外にも、必要な情報収集のためにヒアリングなどを行った 21 アンケート×2 掲示板×2 チャットチャット SSO運用へ移行計画中であることを同時に周知した
• 移行開始時期と内容の周知 • 移行開始の連絡

移行時の動き 22 ユーザー権限の検討権限の作成運用手順書の作成ユーザー発行・権限付与 Login

権限の作成方針

権限作成方針開発作業を止めない管理側でしてほしくないことをできないようにするガードレール基本方針利用者が手を止めることなく、セキュアに利用できる状態を目指す権限作成方針

権限の内容 https://speakerdeck.com/donnnn/organizationshuan-jing- noyuzaakusesunituitekao-eru 26 ダイアグラム
が含まれている画像 AI 生成コンテンツは誤りを含む可能性があります。

まとめ 27

まとめヒューマンユーザーアクセスは Identity Center などのフェデレーションが推奨されている（2025年9月現在）移行についてのポイント • こまめに周知し、混乱が生まれないように気を付ける権限作成方針
• ガードレールの基本方針に沿って権限を作成する

29 Thank you！

IAMユーザーからSSOに移行した話

IAMユーザーからSSOに移行した話

KasumiNakahara

More Decks by KasumiNakahara

Other Decks in Technology

Featured

Transcript

confidential 許可なき配布・参照はお断りしております IAM ユーザーから IIC へ移行した話木村情報技術株式会社中原加寸美

中原加寸美 - Kasumi Nakahara - 所属木村情報技術株式会社出身佐賀県

A W S アカウントへの

SAML

I A M ユーザーから I

アジェンダ • IAM と Identity Center • 移行の背景 • Identity

IAM と Ide nt i t y Ce nt e

IAM AWS の認証・認可を司るサービス各AWSリソースへアクセス権限を付与できるユーザー・グループ・ロールへ権限を付与し、各AWSリソースやヒューマンユーザーへのアクセス制御を行うことができる 10

IAM Identity Center AWS のマルチアカ

AWSアカウントへのログイン方法 12 IAMユーザー • AWSアカウント内のユーザー • マネジメ

ベストプラクティス 2025年9月現在、AWSドキュメントへ以下のように記載されている Require human users to use federation with an

移行の背景 15

Organizations 移行の背景数年前のAWSアカウントの状況 16 AWS Cloud A AWS Cloud B

課題 18 課題① アカウント数は１０を超え、ユーザー管理が大変課題② 各ユーザーでアクセスキーを保持していたが、ローテーションの運用もできていなかったセキュリティ推進チーム

移行

気を付けたことこまめに周知する • IAMユーザーを利用しているユーザーは約百数十名 • 周知して進めないと混乱が生まれると想定されたアンケート掲示板チャット

移行時の動きユーザー向けこれ以外にも、必要な情報収集のためにヒアリングなどを行った 21 アンケート×2 掲示板×2 チャットチャット SSO運用へ移行計画中であることを同時に周知した

移行時の動き 22 ユーザー権限の検討権限の作成運用手順書の作成ユーザー発行・権限付与 Login

権限の作成方針

権限作成方針開発作業を止めない管理側でしてほしくないことをできないようにするガードレール基本方針利用者が手を止めることなく、セキュアに利用できる状態を目指す権限作成方針

権限の内容 https://speakerdeck.com/donnnn/organizationshuan-jing- noyuzaakusesunituitekao-eru 26 ダイアグラム

まとめ 27

まとめヒューマンユーザーアクセスは Identity Center などのフェデレーションが推奨されている（2025年9月現在）移行についてのポイント • こまめに周知し、混乱が生まれないように気を付ける権限作成方針

29 Thank you！