AWS SSO 超入門 / AWS SSO Super begginer's book

AWS SSO 超入門 - AWSのすごいさーびすお伝えしたい - 株式会社ヌーラボ
SRE　二橋宣友 1

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 2

自己紹介 • 氏名 ◦ 二橋宣友 (ふたはしひさとも) • 所属
◦ 株式会社ヌーラボ ◦ SRE (Site Reliability Engineer) • 業務内容 ◦ 主にビジネスチャットツール Typetalk の SRE 業務 ◦ 会社全体の SRE 業務 • 最近の趣味 ◦ コーチング ◦ ウクレレ ◦ 3Dモデリング 3

• 複数のAWSアカウントと複数のビジネスアプリケーションに対して、一元的なアカウント / 権限管理と
シングルサインオンアクセスを提供 • アカウントは、AWS SSOで管理または既存IdPを利用可能 AWS SSO (Single Sing-On) とは？ 5 ビジネスアプリケーションビジネスアプリケーション AWS SSO ビジネスアプリケーションアカウント / 権限管理ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングルサインオン

• 複数のAWSアカウント / ビジネスアプリケーションを利用している組織 • アカウント管理 / 権限管理を統括的にしたい組織 => 大企業にだけおすすめ？
小規模からでもおすすめ！どういう人向きか？ 6 複数のAWSアカウントを使う機会がないから関係ねー。ちょっと待てぃ!! マルチアカウント構成が適切なケースは意外と多い YO！

(参考) マルチアカウントのすゝめ • シングルアカウントとマルチアカウントの簡易比較 • リソースを明確に分割 / 管理できるメリット ◦ セキュリティの境界:
アカウントレベルで、保護や切り分け ◦ コスト管理: コスト配分タグを使わずに、シンプルにアカウント単位で管理できる ◦ 権限管理: アカウントレベルでの切り分け、シンプルな権限設定ができる ◦ 環境分離: 開発環境 / 本番環境 / ワークロード別など、 APIの分離やオペミス防止 7 シングルアカウントマルチアカウント適所個人や超小規模開発向き組織での開発メリット導入が早く小規模ならシンプルリソースを明確に分割 / 管理デメリット規模が拡大すると管理が複雑化導入準備が必要各アカウントの管理が大変 AWS Organizations、 AWS Control Tower、 AWS SSOで解決

AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションでアカウント / 権限管理が必要
9 AWS アカウントビジネスアプリケーション AWS アカウントビジネスアプリケーション AWS アカウントビジネスアプリケーションアカウント / 権限管理アカウント / 権限管理アカウント / 権限管理アカウント / 権限管理アカウント / 権限管理アカウント / 権限管理ポータルポータルポータルポータルポータルポータル失敗した失敗した失敗した失敗した失敗した失敗した

AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションでアカウント / 権限管理が必要
10 AWS アカウントビジネスアプリケーション AWS アカウントビジネスアプリケーション AWS アカウントビジネスアプリケーションアカウント / 権限管理アカウント / 権限管理アカウント / 権限管理アカウント / 権限管理アカウント / 権限管理アカウント / 権限管理ポータルポータルポータルポータルポータルポータル失敗した失敗した失敗した失敗した失敗した失敗したジャングルのように混沌としててサルが混ざっても気づかない

AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションのアカウント / 権限管理を統合
11 ビジネスアプリケーションビジネスアプリケーション AWS SSO ビジネスアプリケーションアカウント / 権限管理ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングルサインオン勝利のときは来た！

AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションのアカウント / 権限管理を統合
12 ビジネスアプリケーションビジネスアプリケーション AWS SSO ビジネスアプリケーションアカウント / 権限管理ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングルサインオン勝利のときは来た！美しすぎて範馬•次郎ばりの美開脚をする人を置いても気づかない

ポータルのサンプル 13 本図は公式ページより引用 : https://aws.amazon.com/jp/blogs/news/introducing-aws-single-sign-on/ 複数の AWSアカウント複数のビジネスアプリケーション
複数の Roleも設定可能

その他の特長 / おすすめポイント • AWSとの親和性が高い • CloudTrailとの統合でアクセス監査 • 導入が簡単 (後半のスライドで解説)
• 移行が楽 ◦ 既存のIAM Userを残しながら、AWS SSOを並行利用することもできる。 • 一時的なクレデンシャルのため、よりセキュア • 追加料金なし • 開発が活発 14

AWS SSO のはじめ方 1. 前提条件 2. AWS SSOの有効化 3. ディレクトリの選択
4. AWSメンバーアカウントへのSSOの設定 5. ビジネスアプリケーションへのSSOの設定 16

• AWS Organizationsで組織を作成 / すべての機能を有効化する 1. 前提条件 17 メンバーアカウント
メンバーアカウントメンバーアカウント管理アカウントどの機能を有効化しますか？　▶ すべての機能　　一括請求機能のみ

2. AWS SSOの有効化 • 管理アカウントでAWS SSOの有効化をする 18 メンバーアカウントメンバー
アカウントメンバーアカウント管理アカウント AWS SSO AWS SSOを有効化しますか？　▶ はい　　いいえ

3. ディレクトリの選択 • 管理アカウントのAWS SSOで利用するディレクトリを選択する 19 メンバーアカウントメンバーアカウント
メンバーアカウント管理アカウント AWS SSO どのディレクトリを使いますか？　 ▶ AWS SSOで管理　▶ Microsoft AD 　▶ 外部IDプロバイダーみなさんの環境にあってるものを選んでね

グループB 4. AWSアカウントへのSSO設定 20 グループA ユーザA ユーザB 無所属ユーザC アクセス権限
セットA アクセス権限セットB メンバーアカウントA メンバーアカウントB メンバーアカウントC 管理アカウント SSO管理 SRE ①ユーザ / グループを作成する (IdP接続の場合自動同期) ②アクセス権限セットを作成する ③AWSアカウントとユーザ / グループとアクセス権限セットの組を設定アクセス権限セットC 開発者

5. ビジネスアプリケーションへのSSO設定 • ①アプリケーションの設定 ◦ アプリケーションの選択 (2021/04/13時点で300以上の公式サポート、 SAML 2.0対応のカスタムアプリケーション )
◦ SAMLメタデータの設定 ◦ アプリケーションの開始 URL ◦ セッション期間など。 • ②ユーザ / グループの割り当て 21 主にSSOやID連携で利用される標準規格のマークアップ言語

AWS SSOの仕組み 23 AWS SSO AWS アカウントアクセス権限セット IAM
Role アカウント管理 IdP ①ポータルへアクセスアクセス権限セットとユーザー/グループとアカウントを紐付けた際にIAM Roleとして同期ポータル ②認証 ③アクセス権限セットとその割り当てに基づく表示 ④選択した AWSアカウントのRoleに Assume Role

アクセス権限セットとは？ • AWSアカウントに対するアクセス権限の定義 ( ≒ IAM Role ) • 最大10個のAWS管理ポリシーと
最大1個のカスタムアクセス権限ポリシーを定義 (IAM Policyと同じ記法) 24 アクセス権限セットB アクセス権限セットC SRE 開発者 PowerUserAccess AWS管理ポリシーカスタム権限ポリシー AmazonEC2FullAccess ReadOnlyAccess 特定のS3バケットへの書き込みと特定のSecretsManagerの読み取り

補足説明 • 認証情報の取得方法 ◦ ポータル ◦ CLI (AWS CLI バージョン2でのみ利用可能)
26 $ aws configure sso # 初回のみの設定 $ aws sso login --profile [profile] # 期間中有効な認証情報取得 ※AWS SSOの認証情報は ~/.aws/credentials に書き込まない => 古いライブラリだと認証情報を認識できないことがある => ライブラリ最新化 or 環境変数で設定 or 他のツールで設定

さいごに • アカウント管理 / 権限管理は大変だけど大事。 • AWS SSO でみんな (情シス
/ 開発者 / ユーザーなど) が幸せな世界線に行けるといいですね。 • 「AWS SSO 良さそう！使いたい！」っと思ってくれたら幸いです。 28

おしまい 29 ご清聴ありがとうございました　　▶ 拍手する　　たたかう　　まほう　　
どうぐ　　にげる

AWS SSO 超入門 / AWS SSO Super begginer's book

AWS SSO 超入門 / AWS SSO Super begginer's book

株式会社ヌーラボ PRO

More Decks by 株式会社ヌーラボ

Other Decks in Technology

Featured

Transcript

AWS SSO 超入門 - AWSのすごいさーびすお伝えしたい - 株式会社ヌーラボ

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO

自己紹介 • 氏名 ◦ 二橋宣友 (ふたはしひさとも) • 所属

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO

• 複数のAWSアカウントと複数のビジネスアプリケーションに対して、一元的なアカウント / 権限管理と

• 複数のAWSアカウント / ビジネスアプリケーションを利用している組織 • アカウント管理 / 権限管理を統括的にしたい組織 => 大企業にだけおすすめ？

(参考) マルチアカウントのすゝめ • シングルアカウントとマルチアカウントの簡易比較 • リソースを明確に分割 / 管理できるメリット ◦ セキュリティの境界:

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO

AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションでアカウント / 権限管理が必要

AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションでアカウント / 権限管理が必要

AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションのアカウント / 権限管理を統合

AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションのアカウント / 権限管理を統合

ポータルのサンプル 13 本図は公式ページより引用 : https://aws.amazon.com/jp/blogs/news/introducing-aws-single-sign-on/ 複数の AWSアカウント複数のビジネスアプリケーション

その他の特長 / おすすめポイント • AWSとの親和性が高い • CloudTrailとの統合でアクセス監査 • 導入が簡単 (後半のスライドで解説)

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO

AWS SSO のはじめ方 1. 前提条件 2. AWS SSOの有効化 3. ディレクトリの選択

• AWS Organizationsで組織を作成 / すべての機能を有効化する 1. 前提条件 17 メンバーアカウント

2. AWS SSOの有効化 • 管理アカウントでAWS SSOの有効化をする 18 メンバーアカウントメンバー

3. ディレクトリの選択 • 管理アカウントのAWS SSOで利用するディレクトリを選択する 19 メンバーアカウントメンバーアカウント

グループB 4. AWSアカウントへのSSO設定 20 グループA ユーザA ユーザB 無所属ユーザC アクセス権限

5. ビジネスアプリケーションへのSSO設定 • ①アプリケーションの設定 ◦ アプリケーションの選択 (2021/04/13時点で300以上の公式サポート、 SAML 2.0対応のカスタムアプリケーション )

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO

AWS SSOの仕組み 23 AWS SSO AWS アカウントアクセス権限セット IAM

アクセス権限セットとは？ • AWSアカウントに対するアクセス権限の定義 ( ≒ IAM Role ) • 最大10個のAWS管理ポリシーと

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO

補足説明 • 認証情報の取得方法 ◦ ポータル ◦ CLI (AWS CLI バージョン2でのみ利用可能)

目次 • 自己紹介 • AWS SSO の概要 • AWS SSO

さいごに • アカウント管理 / 権限管理は大変だけど大事。 • AWS SSO でみんな (情シス

おしまい 29 ご清聴ありがとうございました　　▶ 拍手する　　たたかう　　まほう