Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS_CLIでSSOする裏側を覗いてみた.pdf

Avatar for Yuto Anada Yuto Anada
October 23, 2025
2
510

 AWS_CLIでSSOする裏側を覗いてみた.pdf

Avatar for Yuto Anada

Yuto Anada

October 23, 2025
Tweet

Featured

See All Featured
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.2k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
990
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.1k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
274
41k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
33k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
132
19k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
920
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
59
9.6k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
700

Transcript

  1. AWS CLIでSSOする裏側を 覗いてみた 穴田悠人 Education-JAWS #5

  2. 自己紹介 ・穴田悠人(あなだゆうと) ・早稲田大学 情報系の修士2年 ・趣味:バドミントン、走る

  3. AWSリソース操作の方法 • マネジメントコンソール • IaC • AWS SDK(プログラム) • AWS

    CLI ・・・

  4. AWS CLIからリソース操作する方法 • IAM Identity Centerのユーザを作成して、一時クレデンシャルを使用 ◦ 自動的に取得(推奨) ◦ 手動で取得

    • IAMロールを引き受ける • IAMユーザの長期クレデンシャルを使用(非推奨) …

  5. 準備 • AWS Organizations で IAM Identity Center を有効にする •

    IAM Identity Center ユーザを作成(edu-jaws-lt-user) edu-jaws-lt-user 組織

  6. 今回紹介する処理フロー • aws configure sso コマンド ◦ IAM Identity Center

    プロファイルを設定 ◦ アクセストークンの取得 • aws s3 ls コマンド ◦ (一時クレデンシャルの取得) ◦ アカウントが所有するS3バケットの一覧を取得 sso_session = edu-jaws-lt sso_account_id = xxxxxx sso_role_name = AdministratorAccess region = ap-northeast-1 output = json

  7. aws configure ssoの流れ • クライアント登録 • 認可コードの取得 • アクセストークンの取得 •

    IAM Identity Center プロファイルの作成 PKCEベースのフロー

  8. PKCE(ピクシー)とは

  9. PKCE(Proof Key for Code Exchange)とは ・OAuth2.0の拡張仕様(基本的なフローは同じ) ・AWS CLI バージョン 2.22.0

    以降では、デフォルトで使用 OAuth2.0: リソースへのアクセス許可を示す、accessTokenの取得フロー PKCE: その取得フローをより安全に行うための仕様

  10. OAuth2.0の考え方 (実際のフローとは異なる)

  11. 誰でも操作できる状態 NG Aさん Bさん Cさん

  12. アクセス トークン 認可サーバが発行 Aさん Bさん Cさん

  13. アクセス トークン 検証 Aさん Bさん Cさん

  14. アクセス トークン 検証 Aさん Bさん Cさん

  15. 操作を実行 レスポンス Aさん Bさん Cさん

  16. aws configure ssoコマンドの挙動

  17. クライアント登録 OIDCサーバー AWS CLI botocore 登録します。 clientIdとclientSecretをください。

  18. クライアント登録 AWS CLI botocore clientId: xxxxxx clientSecret: xxxxxx(期限つき) OIDCサーバー

  19. クライアント登録(例) OIDCサーバー AWS CLI botocore POST /client/register { "clientName": "botocore-client-xxxxxx",

    "clientType": "public", "grantTypes": [ "authorization_code", "refresh_token" ], "issuerUrl": "https://d-xxxxxx.awsapps.com/start", "redirectUris": [ "http://127.0.0.1/oauth/callback" ], "scopes": [ "sso:account:access" ] } ※赤は必須パラメータ (https://oidc.ap-northeast-1.amazonaws.com)

  20. クライアント登録(例) OIDCサーバー AWS CLI botocore (https://oidc.ap-northeast-1.amazonaws.com) { "authorizationEndpoint": "null", "clientId":

    "xxxxxx", "clientIdIssuedAt": xxxxxx, "clientSecret": "xxxxxx", "clientSecretExpiresAt": xxxxxx, "tokenEndpoint": "null" } ~/.aws/sso/cacheに書き込む

  21. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 立ち上げる ブラウザ AWS CLI botocore

    ローカル サーバー http://127.0.0.1:54321

  22. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 立ち上げる ブラウザ OIDCサーバー client_id: xxxxxx

    認可コード返送先:http://127.0.0.1:1234/oauth/callback アクセススコープ: sso:account:access code_challenge_method: S256 code_challenge: xxxxxx 「認可コードを取得したいです」 AWS CLI botocore ローカル サーバー http://127.0.0.1:54321

  23. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 立ち上げる ブラウザ OIDCサーバー client_id: xxxxxx

    認可コード返送先:http://127.0.0.1:1234/oauth/callback アクセススコープ: sso:account:access code_challenge_method: S256 code_challenge: xxxxxx PKCE特有の合言葉 AWS CLI botocore ローカル サーバー http://127.0.0.1:54321

  24. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 「認証画面」 AWS CLI botocore ローカル

    サーバー http://127.0.0.1:54321

  25. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 検証 AWS CLI botocore ローカル

    サーバー http://127.0.0.1:54321

  26. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 「OK」 AWS CLI botocore ローカル

    サーバー http://127.0.0.1:54321

  27. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 「許可してください」 AWS CLI botocore ローカル

    サーバー http://127.0.0.1:54321

  28. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ AWS CLI botocore ローカル サーバー

    http://127.0.0.1:54321

  29. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 「http://127.0.0.1:1234にリダイレクトして」 「認可コードはxxxxxx」 AWS CLI botocore

    ローカル サーバー http://127.0.0.1:54321

  30. 認可コードの取得 OIDCサーバー AWS CLI botocore ブラウザ 「認可コードはxxxxxx」 ローカル サーバー http://127.0.0.1:54321

  31. 認可コードの取得 OIDCサーバー AWS CLI ブラウザ 「画面閉じてOK」 AWS CLI botocore ローカル

    サーバー http://127.0.0.1:54321

  32. アクセストークンの取得 OIDCサーバー AWS CLI botocore 認可コードはxxxxxxです。 合言葉はxxxxxxです。 「アクセストークンをください」

  33. アクセストークンの取得 OIDCサーバー AWS CLI botocore 認可コードはxxxxxxです。 合言葉はxxxxxxです。 認可コードのリクエスト元と 同じである証明 「アクセストークンをください」

  34. アクセストークンの取得 AWS CLI botocore accessToken: xxxxxx refreshToken: xxxxxx OIDCサーバー

  35. アクセストークンの取得 AWS CLI botocore accessToken: xxxxxx refreshToken: xxxxxx OIDCサーバー 有効期限の短いaccessTokenの

    再発行に必要 ~/.aws/sso/cacheに書き込む

  36. アクセストークンの取得(例) OIDCサーバー AWS CLI botocore POST /token { "clientId": "xxxxxx",

    "clientSecret": "xxxxxx", "code": "xxxxxx”, "codeVerifier": "xxxxxx”, "grantType": "authorization_code", "redirectUri": "http://127.0.0.1:57342/oauth/callback", } ※赤は必須パラメータ (https://oidc.ap-northeast-1.amazonaws.com)

  37. アクセストークンの取得(例) OIDCサーバー AWS CLI botocore (https://oidc.ap-northeast-1.amazonaws.com) { "accessToken": "xxxxxx", "expiresIn":

    3600, "idToken": null, "refreshToken": "xxxxxx", "tokenType": "Bearer" }

  38. 利用可能なアカウント一覧 IAM Identity Centerの リージョナルエンドポイント AWS CLI botocore アクセストークンはxxxxxxです。 利用可能なアカウントを教えて。

    GET /assignment/accounts

  39. 利用可能なアカウント一覧 AWS CLI botocore Aアカウント、Bアカウントが 使えます IAM Identity Centerの リージョナルエンドポイント

  40. 利用可能なロール一覧 IAM Identity Centerの リージョナルエンドポイント AWS CLI botocore アクセストークンはxxxxxxです。 Aアカウントで利用可能なロールを教

    えて。 GET /assignment/roles

  41. 利用可能なロール一覧 AWS CLI botocore AdministratorAccessと ReadOnlyAccess です IAM Identity Centerの

    リージョナルエンドポイント

  42. 設定ファイルの作成 AWS CLI botocore [profile edu-jaws-lt] sso_session = edu-jaws-lt sso_account_id

    = xxxxxx sso_role_name = AdministratorAccess region = ap-northeast-1 output = json [sso-session edu-jaws-lt] sso_start_url = https://d-xxxxxx.awsapps.com/start sso_region = ap-northeast-1 sso_registration_scopes = sso:account:access ~/.aws/configに設定内容を 書き込む

  43. aws s3 ls(S3バケットの一覧)

  44. 一時クレデンシャルを取得 IAM Identity Centerの リージョナルエンドポイント AWS CLI botocore accountId: xxxxxx

    roleName: AdministratorAccess accessToken: xxxxxx 「一時クレデンシャルをください」

  45. 一時クレデンシャルを取得 AWS CLI botocore accessKeyId: "xxxxxx" secretAccessKey: "xxxxxx" sessionToken: "xxxxxx"

    IAM Identity Centerの リージョナルエンドポイント ~/.aws/cli/cacheに書き込む

  46. S3バケット一覧を取得 AWS CLI botocore secretAccessKeyなど SigV4による 署名値の計算 署名

  47. S3バケット一覧を取得 S3のリージョナル エンドポイント AWS CLI botocore 「S3バケット一覧をください」 署名 リクエスト accessKeyId、

    sessionToken含む

  48. S3バケット一覧を取得 AWS CLI botocore Bucket 1、Bucket 2 です S3のリージョナル エンドポイント

  49. まとめ • AWS CLIのSSOでは、PKCE(OAuth2.0の拡張仕様)を使用 • リソース操作では、SigV4による署名つきリクエストを行う • 今日紹介した流れは、aws configure sso

    --debug でぜひお手元で確認してみてく ださい!

  50. [参考]API仕様 ・RegisterClient(クライアント登録) https://docs.aws.amazon.com/ja_jp/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html ・CreateToken(アクセストークン発行) https://docs.aws.amazon.com/ja_jp/singlesignon/latest/OIDCAPIReference/API_CreateToken.html ・ListAccounts(利用可能なアカウント一覧) https://docs.aws.amazon.com/ja_jp/singlesignon/latest/PortalAPIReference/API_ListAccounts.html ・ListAccountRoles(利用可能なロール一覧) https://docs.aws.amazon.com/ja_jp/singlesignon/latest/PortalAPIReference/API_ListAccountRoles.html ・GetRoleCredentials(一時クレデンシャル発行)

    https://docs.aws.amazon.com/ja_jp/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html