業務委託やコミュニティ メンバーでも活用できる IAM Identity Center 2022/10/08 @sogaoh https://jawsdays2022.jaws-ug.jp/ 1

About Me 1 月 理事、5 月 Staff 3 月 設立、代表社員 6 月〜 既存Web サービスリニューアルプロジェクトにおけるSRE ロール、 複業でクラウドインフラ・CI/CD の構築・運用サポートなど Hisashi SOGA SRE NEXT Assoc. SRE NEXT 2022 ant-in-giant G.K. 2

Recent Activity 3

AGENDA はじめに Main 組織にSSO 設定 Main 組織配下にFree 組織を設定 Free 組織メンバーへのSSO 設定 この方法の発展 おわりに 資料は公開してあります -> ※1. 履歴が増殖するため、シークレットウィンドウでご覧ください（Chrome を推奨） ※2. ところどころの青の文字はリンクになっています ※3. スペースで次のページに進みます（[o] でOverview が見れます）) ( はダウンロードしたPDF ならリンクに飛べるのでご利用ください) https://pres.ant-in-giant.llc/slide/20221008 SpeakerDeck 版 4

はじめに Main 組織にSSO 設定 Main 組織配下にFree 組織を設定 Free 組織メンバーへのSSO 設定 この方法の発展 おわりに 5

状況想定 Main 組織 : プロダクトA を運営する会社 企画・デザイン・開発の部署あり。小人数ではない Google Workspace 高めエディション (*1) 業務委託メンバー数名ほど（リモート・関東） Google Workspace Business Starter 協力会社メンバー数名ほど（リモート：関東以外） IdP 特になし カレンダー共有は個人のGmail など (*1) refs: Google Workspace （旧称 G Suite ）: お支払いプラン 6

IAM Identity Center 導入の モチベーション アカウント管理（入社/ 退職対応）が大変 業務委託・協力会社メンバー契約開始終了もある アクセスキー・シークレットキー漏洩のリスク ログイン操作の手間を減らしたい 不要な IAM ユーザーを作りたくない 時流に乗りたい ※ IAM Identity Center は以降 SSO と表現します（長いので） ※ Google Workspace は以降 GW と表現します（長いので） 7

課題解決への一手 GW 高めエディションに下位組織を設けて 業務委託・協力会社メンバーをそこに投入 この下位組織には Google Cloud Identity Free ( 以降 GCIF) の無料ライセンスを割り当てる (*2) ※ 以降、この下位組織を Free 組織 と表現します [ デメリット] ： 個々のメンバーが管理するアカウントが増える 業務委託・協力会社、副業・アルバイト・… (*2) refs: (2021.11.06) 完全無料のIDaaS ！？Google Cloud Identity Free を試してみる 8

はじめに Main 組織にSSO 設定 Main 組織配下にFree 組織を設定 Free 組織メンバーへのSSO 設定 この方法の発展 おわりに 9

組織と AWS の紐付け 管理アカウントで AWS Organizations を有効化 を確認したうえで、SSO (*3) を有効化 ID ソースを選択する に GW はない ので、手動で SAML 連携設定を行う (*4) (*3) IAM Identity Center (*4) ガイド (2022/8/29 時点) : ・・・以下↓、注意点 全面英語、画面が最新でない Google GCP - create Directory Service API から AWS SSO - Check Provisioning まではオプショナル Deleting AWS resources deployed in this lab はしない 前提条件 サポートされている ID プロバイダー AWS Control Tower Workshops > … > Google Workspace 10

許可セット (IAM) の準備 ユーザー追加 ユーザー名 と E メールアドレス は同じにする ユーザーが所属するグループを作成 権限（≒許可セット）がわかりやすいようにすると良い 許可セットを作成 事前定義された許可セットから選択 (*5) or カスタマイズされたIAM ポリシー（カスタム許可セット）(*6) (*5) refs: ( ※ Read-only access が外れている) (*6) refs: , , … 　　インラインポリシーを作りこなせると強そう AWS managed policies for job functions Managed policies and inline policies AWS services that work with IAM 11

許可セットを割り当てる SSO アクセスを行いたい AWS アカウント に レ 「ユーザーまたはグループを割り当て」を行う 割り当てたいグループ or ユーザーに レ して「Next 」 割り当てたい許可セットに レ して「Next 」 確認して「送信」 とても丁寧で詳しい説明ブログ：“ え、IAM ユーザーを作らなくてもマネジメントコンソールにログインできるの!?” (2022.01.19) (2021.11.26) シングルサインオン実践編 シングルサインオン考え方編 12

はじめに Main 組織にSSO 設定 Main 組織配下にFree 組織を設定 Free 組織メンバーへのSSO 設定 この方法の発展 おわりに 13

GCIF の開始 特権管理者で、GW 管理画面に入る お支払い > その他のサービスを… > Cloud Identity Cloud Identity (*7) を「開始」 (*7) refs: Cloud Identity とは | Google Workspace 管理者ヘルプ 14

Free 組織にGCIF ライセンス割当 お支払い > ライセンスの設定 Main 組織の 自動ライセンス -> オフ (*8) ディレクトリ > 組織部門 Main 組織の配下に新しいFree 組織を作成する (*9) ( 再び) お支払い > ライセンスの設定 作成したFree 組織の自動ライセンス オフ を確認 (*8) refs: (*9) refs: 設定時に Google Workspace ライセンスの自動割り当てを無効にする | Google Workspace 管理者ヘルプ 組織部門を追加する | Google Workspace 管理者ヘルプ 15

Free 組織にユーザー追加 ディレクトリ > ユーザー > 新しいユーザーの追加 ユーザー情報の設定 姓・名・メールアドレス・ドメイン ユーザーの… 、組織部門、… を管理するを展開 Free 組織を選択して「新しいユーザーの追加」 ユーザー名・パスワードを控える（伝える） お支払い > サブスクリプション を確認 有料ライセンス割り当て数が増えていたら直す (*10) (*10) refs: ライセンス > ライセンスの割り当て、削除、再割り当て | Google Workspace 管理者ヘルプ 16

はじめに Main 組織にSSO 設定 Main 組織配下にFree 組織を設定 Free 組織メンバーへのSSO 設定 この方法の発展 おわりに 17

SSO でFree 組織メンバー追加 Main 組織と同様にユーザー追加 ユーザー名 と E メールアドレス は同じにする Main 組織と同様にグループにユーザーを追加 既存であればこの段階で許可セットが割り当てられる 必要に応じて、許可セットを割り当て 新規グループ (or ユーザー) の場合など 18

Main 組織と同様にできること AWS アクセスポータルの URL から SSO GW からのマネコン接続も 権限に応じた、AWS リソースの利用 デフォルトの PowerUserAccess のみだと IAM リソース操作に制約があるので 必要に応じて IAMFullAccess ポリシーを 請求管理画面への閲覧制限なども 許可セット設定次第で可能 19

当初のモチベーション等への達成 アカウント管理の簡素化 ○ アクセスキー類漏洩のリスク低減 ◎ ログイン操作の手間低減 ○ 余計な IAM ユーザー作成不要 ○ 時流に乗る ◎ GW のコストは（ほぼ）増えていない ○ 20

はじめに Main 組織にSSO 設定 Main 組織配下にFree 組織を設定 Free 組織メンバーへのSSO 設定 この方法の発展 おわりに 21

マネコンへの入り口は開いた を見直す を抑えにいく 大変そうだ・・・少しずつやるのが良さそう (*11) 組織のみんなにAWS をうまく使ってもらえれば それでOK (*11) refs: 　　 : (2022.08.26) 資料 AWS アカウント作成時にやるべきこと マルチアカウント管理の基本 プロダクトと組織の成長を見据えたスマートラウンドの AWS マルチアカウント戦略 AWS Startup Community Conference 2022 22

GCIF 以外の方法も知る フェデレーティッド シングルサインオン (*12) x 踏み台アカウントパターン (*13) -> AWS SSO (IAM Identity Center) よりは煩雑と なるものの、IAM ユーザーはほぼ不要にできる ( 個人的には)MFA 不要な方法に寄せたい (*12) refs: (*13) refs: Google Workspace を用いて AWS へのフェデレーティッド シングルサインオンをセットアップする方法 AWS のマルチアカウント管理ことはじめ　ログインの一元化の設計 23

よりよい管理の模索 IaC で状態管理 Module Module など … IAM インラインポリシーを自在に使いたい からの果てなき道… cloudposse/terraform-aws-sso cloudposse/aws-google-auth AWS Identity and Access Management Documentation 24

はじめに Main 組織にSSO 設定 Main 組織配下にFree 組織を設定 Free 組織メンバーへのSSO 設定 この方法の発展 おわりに 25

まとめ (?) AWS SSO のはじめかた、 それによって解決できる課題 GCIF という IdP の紹介、 利用する際の注意点 複数の情報・技術を組み合わせてみる ことから生まれる発展可能性 26

余談 27

End お気づきの点あれば まで @sogaoh 28