Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS SSO 超入門 / AWS SSO Super begginer's book
Search
株式会社ヌーラボ
PRO
April 16, 2021
Technology
2
650
AWS SSO 超入門 / AWS SSO Super begginer's book
2021年4月16日(金)に開催されたNuCon mini 2021 Springの発表資料です。
▼発表動画アーカイブ
https://youtu.be/DzTGlni8pRE?t=2117
株式会社ヌーラボ
PRO
April 16, 2021
Tweet
Share
More Decks by 株式会社ヌーラボ
See All by 株式会社ヌーラボ
4つの基本的な組織形態を知る ~ミンツバーグの組織論 7つの類型と力学、そしてその先へ~ より GWD in Nagoya
nulabinc
PRO
2
74
必要なのは客観性。組織変革をもたらす、より良い「対話」を生み出すための活動 #scrummikawa
nulabinc
PRO
3
930
悪い実装例から学ぶ ウェブアクセシビリティ改善のヒント
nulabinc
PRO
1
200
ヌーラボカスタマーサクセスチームのBacklog活用
nulabinc
PRO
0
270
言葉で「ヌーラボらしさ」をどう届ける? グローバルチームでコラボレーションする大切さ
nulabinc
PRO
1
86
タスクの可視化は争いをなくす!? 夏休みを乗り切る 宿題プロジェクトマネジメント
nulabinc
PRO
2
250
情シスの申請業務におけるBacklog活用術
nulabinc
PRO
0
280
Backlogと業務プロセスのちょっといい関係
nulabinc
PRO
0
250
創造が易しく楽しいチー ムを作るために
nulabinc
PRO
3
220
Other Decks in Technology
See All in Technology
AWS CDKでデータリストアの運用、どのように設計する?~Aurora・EFSの実践事例を紹介~/aws-cdk-data-restore-aurora-efs
mhrtech
4
660
小規模に始めるデータメッシュとデータガバナンスの実践
kimujun
3
590
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.6k
来年もre:Invent2024 に行きたいあなたへ - “集中”と“つながり”で楽しむ -
ny7760
0
480
サイバーエージェントにおける生成AIのリスキリング施策の取り組み / cyber-ai-reskilling
cyberagentdevelopers
PRO
2
200
一休.comレストランにおけるRustの活用
kymmt90
3
590
CAMERA-Suite: 広告文生成のための評価スイート / ai-camera-suite
cyberagentdevelopers
PRO
3
270
いまさらのStorybook
ikumatadokoro
0
150
ガバメントクラウド先行事業中間報告を読み解く
sugiim
1
1.4k
新卒1年目が向き合う生成AI事業の開発を加速させる技術選定 / ai-web-launcher
cyberagentdevelopers
PRO
7
1.5k
わたしとトラックポイント / TrackPoint tips
masahirokawahara
1
240
現地でMeet Upをやる場合の注意点〜反省点を添えて〜
shotashiratori
0
530
Featured
See All Featured
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
22k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.9k
Imperfection Machines: The Place of Print at Facebook
scottboms
264
13k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
3
370
A Modern Web Designer's Workflow
chriscoyier
692
190k
Testing 201, or: Great Expectations
jmmastey
38
7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.8k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
9
680
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
41
2.1k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Fireside Chat
paigeccino
32
3k
Transcript
AWS SSO 超入門 - AWSの すごい さーびす お伝えしたい - 株式会社ヌーラボ
SRE 二橋 宣友 1
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 2
自己紹介 • 氏名 ◦ 二橋 宣友 (ふたはし ひさとも) • 所属
◦ 株式会社ヌーラボ ◦ SRE (Site Reliability Engineer) • 業務内容 ◦ 主にビジネスチャットツール Typetalk の SRE 業務 ◦ 会社全体の SRE 業務 • 最近の趣味 ◦ コーチング ◦ ウクレレ ◦ 3Dモデリング 3
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 4
• 複数のAWSアカウント と 複数のビジネスアプリケーション に対して、 一元的な アカウント / 権限管理 と
シングルサインオンアクセス を提供 • アカウントは、AWS SSOで管理 または 既存IdPを利用可能 AWS SSO (Single Sing-On) とは? 5 ビジネス アプリケーション ビジネス アプリケーション AWS SSO ビジネス アプリケーション アカウント / 権限管理 ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングル サインオン
• 複数のAWSアカウント / ビジネスアプリケーションを利用している組織 • アカウント管理 / 権限管理を統括的にしたい組織 => 大企業にだけおすすめ?
小規模からでもおすすめ! どういう人向きか? 6 複数のAWSアカウントを 使う機会がないから関係ねー。 ちょっと待てぃ!! マルチアカウント構成が 適切なケースは意外と多い YO!
(参考) マルチアカウントのすゝめ • シングルアカウントとマルチアカウントの簡易比較 • リソースを明確に分割 / 管理できるメリット ◦ セキュリティの境界:
アカウントレベルで、保護や切り分け ◦ コスト管理: コスト配分タグを使わずに、シンプルにアカウント単位で管理できる ◦ 権限管理: アカウントレベルでの切り分け、シンプルな権限設定ができる ◦ 環境分離: 開発環境 / 本番環境 / ワークロード別など、 APIの分離やオペミス防止 7 シングルアカウント マルチアカウント 適所 個人や超小規模開発向き 組織での開発 メリット 導入が早く小規模ならシンプル リソースを明確に分割 / 管理 デメリット 規模が拡大すると管理が複雑化 導入準備が必要 各アカウントの管理が大変 AWS Organizations、 AWS Control Tower、 AWS SSOで解決
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 8
AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションで アカウント / 権限管理が必要
9 AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 ポータル ポータル ポータル ポータル ポータル ポータル 失敗した失敗した失敗した 失敗した失敗した失敗した
AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションで アカウント / 権限管理が必要
10 AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 ポータル ポータル ポータル ポータル ポータル ポータル 失敗した失敗した失敗した 失敗した失敗した失敗した ジャングルのように混沌としてて サルが混ざっても気づかない
AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションの アカウント / 権限管理を統合
11 ビジネス アプリケーション ビジネス アプリケーション AWS SSO ビジネス アプリケーション アカウント / 権限管理 ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングル サインオン 勝利のときは来た!
AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションの アカウント / 権限管理を統合
12 ビジネス アプリケーション ビジネス アプリケーション AWS SSO ビジネス アプリケーション アカウント / 権限管理 ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングル サインオン 勝利のときは来た! 美しすぎて 範馬•次郎ばりの美開脚をする人 を置いても気づかない
ポータルのサンプル 13 本図は公式ページより引用 : https://aws.amazon.com/jp/blogs/news/introducing-aws-single-sign-on/ 複数の AWSアカウント 複数の ビジネスアプリ ケーション
複数の Roleも設定可能
その他の特長 / おすすめポイント • AWSとの親和性が高い • CloudTrailとの統合でアクセス監査 • 導入が簡単 (後半のスライドで解説)
• 移行が楽 ◦ 既存のIAM Userを残しながら、AWS SSOを並行利用することもできる。 • 一時的なクレデンシャルのため、よりセキュア • 追加料金なし • 開発が活発 14
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 15
AWS SSO のはじめ方 1. 前提条件 2. AWS SSOの有効化 3. ディレクトリの選択
4. AWSメンバーアカウントへのSSOの設定 5. ビジネスアプリケーションへのSSOの設定 16
• AWS Organizationsで組織を作成 / すべての機能を有効化する 1. 前提条件 17 メンバー アカウント
メンバー アカウント メンバー アカウント 管理 アカウント どの機能を有効化しますか? ▶ すべての機能 一括請求機能のみ
2. AWS SSOの有効化 • 管理アカウントでAWS SSOの有効化をする 18 メンバー アカウント メンバー
アカウント メンバー アカウント 管理 アカウント AWS SSO AWS SSOを有効化しますか? ▶ はい いいえ
3. ディレクトリの選択 • 管理アカウントのAWS SSOで利用するディレクトリを選択する 19 メンバー アカウント メンバー アカウント
メンバー アカウント 管理 アカウント AWS SSO どのディレクトリを使いますか? ▶ AWS SSOで管理 ▶ Microsoft AD ▶ 外部IDプロバイダー みなさんの環境に あってるものを選んでね
グループB 4. AWSアカウントへのSSO設定 20 グループA ユーザA ユーザB 無所属 ユーザC アクセス権限
セットA アクセス権限 セットB メンバー アカウントA メンバー アカウントB メンバー アカウントC 管理 アカウント SSO管理 SRE ①ユーザ / グループを作成する (IdP接続の場合自動同期) ②アクセス権限セットを作成する ③AWSアカウント と ユーザ / グループ と アクセス権限セット の組を設定 アクセス権限 セットC 開発者
5. ビジネスアプリケーションへのSSO設定 • ①アプリケーションの設定 ◦ アプリケーションの選択 (2021/04/13時点で300以上の公式サポート、 SAML 2.0対応のカスタムアプリケーション )
◦ SAMLメタデータの設定 ◦ アプリケーションの開始 URL ◦ セッション期間 など。 • ②ユーザ / グループの割り当て 21 主にSSOやID連携で利用される 標準規格のマークアップ言語
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 22
AWS SSOの仕組み 23 AWS SSO AWS アカウント アクセス権限 セット IAM
Role アカウント管理 IdP ①ポータルへアクセス アクセス権限セットと ユーザー/グループとアカウントを 紐付けた際にIAM Roleとして同期 ポータル ②認証 ③アクセス権限セットと その割り当てに基づく表示 ④選択した AWSアカウントのRoleに Assume Role
アクセス権限セットとは? • AWSアカウントに対するアクセス権限の定義 ( ≒ IAM Role ) • 最大10個のAWS管理ポリシーと
最大1個のカスタムアクセス権限ポリシーを定義 (IAM Policyと同じ記法) 24 アクセス権限 セットB アクセス権限 セットC SRE 開発者 PowerUserAccess AWS管理ポリシー カスタム権限ポリシー AmazonEC2FullAccess ReadOnlyAccess 特定のS3バケットへの書き込み と 特定のSecretsManagerの読み取り
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 25
補足説明 • 認証情報の取得方法 ◦ ポータル ◦ CLI (AWS CLI バージョン2でのみ利用可能)
26 $ aws configure sso # 初回のみの設定 $ aws sso login --profile [profile] # 期間中有効な認証情報取得 ※AWS SSOの認証情報は ~/.aws/credentials に書き込まない => 古いライブラリだと認証情報を認識できないことがある => ライブラリ最新化 or 環境変数で設定 or 他のツールで設定
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 27
さいごに • アカウント管理 / 権限管理は大変だけど大事。 • AWS SSO でみんな (情シス
/ 開発者 / ユーザーなど) が 幸せな世界線に行けるといいですね。 • 「AWS SSO 良さそう!使いたい!」っと思ってくれたら幸いです。 28
おしまい 29 ご清聴ありがとうございました ▶ 拍手する たたかう まほう
どうぐ にげる