Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMユーザーからSSOに移行した話
Search
KasumiNakahara
September 27, 2025
Technology
0
150
IAMユーザーからSSOに移行した話
2025.9.27 JAWS-UG山梨 登壇資料
#jawsug #jawsug_yamanashi
KasumiNakahara
September 27, 2025
Tweet
Share
More Decks by KasumiNakahara
See All by KasumiNakahara
Organizations環境のユーザーアクセスについて考える
donnnn
1
26
Security Hub運用のつらみ
donnnn
0
13
Other Decks in Technology
See All in Technology
テストセンター受験、オンライン受験、どっちなんだい?
yama3133
0
130
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
9.9k
【開発を止めるな】機能追加と並行して進めるアーキテクチャ改善/Keep Shipping: Architecture Improvements Without Pausing Dev
bitkey
PRO
1
120
Amazon Quick Suite で始める手軽な AI エージェント
shimy
1
1.8k
子育てで想像してなかった「見えないダメージ」 / Unforeseen "hidden burdens" of raising children.
pauli
2
320
障害対応訓練、その前に
coconala_engineer
0
190
シニアソフトウェアエンジニアになるためには
kworkdev
PRO
3
270
2025年のデザインシステムとAI 活用を振り返る
leveragestech
0
160
AI時代のワークフロー設計〜Durable Functions / Step Functions / Strands Agents を添えて〜
yakumo
3
2.1k
New Relic 1 年生の振り返りと Cloud Cost Intelligence について #NRUG
play_inc
0
220
M&Aで拡大し続けるGENDAのデータ活用を促すためのDatabricks権限管理 / AEON TECH HUB #22
genda
0
230
Bedrock AgentCore Memoryの新機能 (Episode) を試してみた / try Bedrock AgentCore Memory Episodic functionarity
hoshi7_n
2
1.8k
Featured
See All Featured
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
37
Thoughts on Productivity
jonyablonski
73
5k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.1k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
170
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.1k
Raft: Consensus for Rubyists
vanstee
141
7.3k
GraphQLとの向き合い方2022年版
quramy
50
14k
Building Flexible Design Systems
yeseniaperezcruz
330
39k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
Google's AI Overviews - The New Search
badams
0
870
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
0
2.2k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
28
Transcript
confidential 許可なき配布 ・ 参照はお断りしております IAM ユーザーから IIC へ移行した話 木村情報技術株式会社 中原加寸美
中原 加寸美 - Kasumi Nakahara - 所属 木村情報技術株式会社 出身 佐賀県
好きなAWSサービス Security Hub 趣味 着物 着物でJAWS-UGイベントに出没します 2
A W S ア カ ウ ン ト へ の
ユ ー ザ ー ア ク セ ス に は 何 を 使 っ て い ま す か ?
SAML
I A M ユ ー ザ ー か ら I
I C へ 移 行 し た 事 例 を 紹 介 し ま す
アジェンダ • IAM と Identity Center • 移行の背景 • Identity
Center への移行 • 権限の作成方針
IAM と Ide nt i t y Ce nt e
r 9
IAM AWS の認証・認可を司るサービス 各AWSリソースへアクセス権限を付与できる ユーザー・グループ・ロールへ権限を付与し、各AWSリソースや ヒューマンユーザーへのアクセス制御を行うことができる 10
IAM Identity Center AWS の マ ル チ ア カ
ウ ン ト 環 境 で 、 複 数 の AWS ア カ ウ ン ト 及 び ア プ リ ケ ー シ ョ ン に 対 す る ユ ー ザ ー の ア ク セ ス 権 を 管 理 す る サービス AWSアカウントへユーザー・ユーザーグループごとに権限セット を割り当てることができる 2022 年 7 月 に AWS Single Sign-On ( S S O ) か ら AWS IAM Identity Center へ名称変更された 11
AWSアカウントへのログイン方法 12 IAMユーザー • AWSアカウント内のユーザー • マ ネ ジ メ
ン ト コ ン ソ ー ル へ ア ク セ ス す る た め の 、 独 自 の パ ス ワ ー ド を 割り当てられる • AWS リ ソ ー ス に 対 す る 長 期 的 な 認証情報を付与できる • アクセスキー、Git認証情報 など IAM Identity Centerのユーザー • AWS ア カ ウ ン ト 組 織 内 、 ま た は 、 ア プ リ ケ ー シ ョ ン で ア ク セ ス を 許 可 されたユーザー • シングルサインオン(SSO)を実現できる • AWS リ ソ ー ス に 対 す る 短 期 的 な 認証情報が付与される
ベストプラクティス 2025年9月現在、AWSドキュメントへ以下のように記載されている Require human users to use federation with an
identity provider to access AWS using temporary credentials ⇒ 一時認証を使ってAWSへアクセスする場合、人間のユーザーはIDプロバイダーのフェ デレーションを必須とする 14 IAM ユーザーでユーザーアクセスを利用しようと すると、Identity Center の利用を推奨される
移 行 の 背 景 15
Organizations 移行の背景 数年前のAWSアカウントの状況 16 AWS Cloud A AWS Cloud B
AWS Cloud E AWS Cloud F AWS Cloud C AWS Cloud D AWS Cloud G AWS Cloud H 管理者 各アカウント個別のIAMユーザーを発行し、管理していた
課題 18 課題① アカウント数は10を超え、 ユーザー管理が大変 課題② 各ユーザーでアクセスキーを 保持していたが、ローテーショ ンの運用もできていなかった セキュリティ推進チーム
IAMユーザーからIICへ移行 する計画を立てた
移 行
気を付けたこと こまめに周知する • IAMユーザーを利用しているユーザーは約百数十名 • 周知して進めないと混乱が生まれると想定された アンケート 掲示板 チャット
移行時の動き ユーザー向け これ以外にも、必要な情報収集のためにヒアリングなどを行った 21 アンケート×2 掲示板×2 チャット チャット SSO運用へ移行計画中であることを 同時に周知した
• 移行開始時期と内容の周知 • 移行開始の連絡
移行時の動き 22 ユーザー権限の検討 権限の作成 運用手順書の作成 ユーザー発行・ 権限付与 Login
権 限 の 作 成 方 針
権限作成方針 開発作業を止めない 管理側でしてほしくないこと をできないようにする ガードレール 基本方針 利用者が手を止めることなく、セキュアに利用できる状態を目指す 権限作成方針
権限の内容 https://speakerdeck.com/donnnn/organizationshuan-jing- noyuzaakusesunituitekao-eru 26 ダ イ ア グ ラ ム
が 含 ま れ て い る 画 像 AI 生 成 コ ン テ ン ツ は 誤 り を 含 む 可 能 性 が あ り ま す 。
ま と め 27
まとめ ヒューマンユーザーアクセスは Identity Center などのフェデレーションが推奨されて いる(2025年9月現在) 移行についてのポイント • こまめに周知し、混乱が生まれないように気を付ける 権限作成方針
• ガードレールの基本方針に沿って権限を作成する
29 Thank you!
donnnn
yama3133
fullkaiten
bitkey
shimy
pauli
coconala_engineer
kworkdev
leveragestech
yakumo
play_inc
genda
hoshi7_n
davidcarrasco
jonyablonski
inesmontani
baasie
kastner
vanstee
quramy
yeseniaperezcruz
sugarenia
badams
lindahogenes
ryanjones
