Slide 1
Slide 1 text
AWS SSO 超入門
- AWSの すごい さーびす お伝えしたい -
株式会社ヌーラボ
SRE 二橋 宣友
1
Slide 2
Slide 2 text
目次
● 自己紹介
● AWS SSO の概要
● AWS SSO の特長
● AWS SSO のはじめ方
● AWS SSO の解説
● AWS SSO の補足説明
● さいごに
2
Slide 3
Slide 3 text
自己紹介
● 氏名
○ 二橋 宣友 (ふたはし ひさとも)
● 所属
○ 株式会社ヌーラボ
○ SRE (Site Reliability Engineer)
● 業務内容
○ 主にビジネスチャットツール Typetalk の SRE 業務
○ 会社全体の SRE 業務
● 最近の趣味
○ コーチング
○ ウクレレ
○ 3Dモデリング
3
Slide 4
Slide 4 text
目次
● 自己紹介
● AWS SSO の概要
● AWS SSO の特長
● AWS SSO のはじめ方
● AWS SSO の解説
● AWS SSO の補足説明
● さいごに
4
Slide 5
Slide 5 text
● 複数のAWSアカウント と 複数のビジネスアプリケーション に対して、
一元的な アカウント / 権限管理 と シングルサインオンアクセス を提供
● アカウントは、AWS SSOで管理 または 既存IdPを利用可能
AWS SSO (Single Sing-On) とは?
5
ビジネス
アプリケーション
ビジネス
アプリケーション
AWS SSO
ビジネス
アプリケーション
アカウント /
権限管理
ポータル
AWS
アカウント
AWS
アカウント
AWS
アカウント
IdP
シングル
サインオン
Slide 6
Slide 6 text
● 複数のAWSアカウント / ビジネスアプリケーションを利用している組織
● アカウント管理 / 権限管理を統括的にしたい組織
=> 大企業にだけおすすめ? 小規模からでもおすすめ!
どういう人向きか?
6
複数のAWSアカウントを
使う機会がないから関係ねー。
ちょっと待てぃ!!
マルチアカウント構成が
適切なケースは意外と多い YO!
Slide 7
Slide 7 text
(参考) マルチアカウントのすゝめ
● シングルアカウントとマルチアカウントの簡易比較
● リソースを明確に分割 / 管理できるメリット
○ セキュリティの境界: アカウントレベルで、保護や切り分け
○ コスト管理: コスト配分タグを使わずに、シンプルにアカウント単位で管理できる
○ 権限管理: アカウントレベルでの切り分け、シンプルな権限設定ができる
○ 環境分離: 開発環境 / 本番環境 / ワークロード別など、 APIの分離やオペミス防止
7
シングルアカウント マルチアカウント
適所 個人や超小規模開発向き 組織での開発
メリット 導入が早く小規模ならシンプル リソースを明確に分割 / 管理
デメリット 規模が拡大すると管理が複雑化 導入準備が必要
各アカウントの管理が大変
AWS Organizations、
AWS Control Tower、
AWS SSOで解決
Slide 8
Slide 8 text
目次
● 自己紹介
● AWS SSO の概要
● AWS SSO の特長
● AWS SSO のはじめ方
● AWS SSO の解説
● AWS SSO の補足説明
● さいごに
8
Slide 9
Slide 9 text
AWS SSO がない世界線
● 各AWSアカウント / ビジネスアプリケーションで
アカウント / 権限管理が必要
9
AWS
アカウント
ビジネス
アプリケーション
AWS
アカウント
ビジネス
アプリケーション
AWS
アカウント
ビジネス
アプリケーション
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
ポータル
ポータル
ポータル
ポータル
ポータル
ポータル
失敗した失敗した失敗した
失敗した失敗した失敗した
Slide 10
Slide 10 text
AWS SSO がない世界線
● 各AWSアカウント / ビジネスアプリケーションで
アカウント / 権限管理が必要
10
AWS
アカウント
ビジネス
アプリケーション
AWS
アカウント
ビジネス
アプリケーション
AWS
アカウント
ビジネス
アプリケーション
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
アカウント /
権限管理
ポータル
ポータル
ポータル
ポータル
ポータル
ポータル
失敗した失敗した失敗した
失敗した失敗した失敗した
ジャングルのように混沌としてて
サルが混ざっても気づかない
Slide 11
Slide 11 text
AWS SSO がある世界線
● 各AWSアカウント / ビジネスアプリケーションの
アカウント / 権限管理を統合
11
ビジネス
アプリケーション
ビジネス
アプリケーション
AWS SSO
ビジネス
アプリケーション
アカウント /
権限管理
ポータル
AWS
アカウント
AWS
アカウント
AWS
アカウント
IdP
シングル
サインオン
勝利のときは来た!
Slide 12
Slide 12 text
AWS SSO がある世界線
● 各AWSアカウント / ビジネスアプリケーションの
アカウント / 権限管理を統合
12
ビジネス
アプリケーション
ビジネス
アプリケーション
AWS SSO
ビジネス
アプリケーション
アカウント /
権限管理
ポータル
AWS
アカウント
AWS
アカウント
AWS
アカウント
IdP
シングル
サインオン
勝利のときは来た!
美しすぎて
範馬●次郎ばりの美開脚をする人
を置いても気づかない
Slide 13
Slide 13 text
ポータルのサンプル
13
本図は公式ページより引用 : https://aws.amazon.com/jp/blogs/news/introducing-aws-single-sign-on/
複数の
AWSアカウント
複数の
ビジネスアプリ
ケーション
複数の
Roleも設定可能
Slide 14
Slide 14 text
その他の特長 / おすすめポイント
● AWSとの親和性が高い
● CloudTrailとの統合でアクセス監査
● 導入が簡単 (後半のスライドで解説)
● 移行が楽
○ 既存のIAM Userを残しながら、AWS SSOを並行利用することもできる。
● 一時的なクレデンシャルのため、よりセキュア
● 追加料金なし
● 開発が活発
14
Slide 15
Slide 15 text
目次
● 自己紹介
● AWS SSO の概要
● AWS SSO の特長
● AWS SSO のはじめ方
● AWS SSO の解説
● AWS SSO の補足説明
● さいごに
15
Slide 16
Slide 16 text
AWS SSO のはじめ方
1. 前提条件
2. AWS SSOの有効化
3. ディレクトリの選択
4. AWSメンバーアカウントへのSSOの設定
5. ビジネスアプリケーションへのSSOの設定
16
Slide 17
Slide 17 text
● AWS Organizationsで組織を作成 / すべての機能を有効化する
1. 前提条件
17
メンバー
アカウント
メンバー
アカウント
メンバー
アカウント
管理
アカウント
どの機能を有効化しますか?
▶ すべての機能
一括請求機能のみ
Slide 18
Slide 18 text
2. AWS SSOの有効化
● 管理アカウントでAWS SSOの有効化をする
18
メンバー
アカウント
メンバー
アカウント
メンバー
アカウント
管理
アカウント
AWS SSO
AWS SSOを有効化しますか?
▶ はい
いいえ
Slide 19
Slide 19 text
3. ディレクトリの選択
● 管理アカウントのAWS SSOで利用するディレクトリを選択する
19
メンバー
アカウント
メンバー
アカウント
メンバー
アカウント
管理
アカウント
AWS SSO
どのディレクトリを使いますか? ▶
AWS SSOで管理
▶ Microsoft AD
▶ 外部IDプロバイダー
みなさんの環境に
あってるものを選んでね
Slide 20
Slide 20 text
グループB
4. AWSアカウントへのSSO設定
20
グループA
ユーザA ユーザB
無所属
ユーザC
アクセス権限
セットA
アクセス権限
セットB
メンバー
アカウントA
メンバー
アカウントB
メンバー
アカウントC
管理
アカウント
SSO管理 SRE
①ユーザ / グループを作成する
(IdP接続の場合自動同期)
②アクセス権限セットを作成する
③AWSアカウント と ユーザ / グループ と
アクセス権限セット の組を設定
アクセス権限
セットC
開発者
Slide 21
Slide 21 text
5. ビジネスアプリケーションへのSSO設定
● ①アプリケーションの設定
○ アプリケーションの選択
(2021/04/13時点で300以上の公式サポート、 SAML 2.0対応のカスタムアプリケーション )
○ SAMLメタデータの設定
○ アプリケーションの開始 URL
○ セッション期間
など。
● ②ユーザ / グループの割り当て
21
主にSSOやID連携で利用される
標準規格のマークアップ言語
Slide 22
Slide 22 text
目次
● 自己紹介
● AWS SSO の概要
● AWS SSO の特長
● AWS SSO のはじめ方
● AWS SSO の解説
● AWS SSO の補足説明
● さいごに
22
Slide 23
Slide 23 text
AWS SSOの仕組み
23
AWS SSO
AWS
アカウント
アクセス権限
セット
IAM Role
アカウント管理 IdP
①ポータルへアクセス
アクセス権限セットと
ユーザー/グループとアカウントを
紐付けた際にIAM Roleとして同期
ポータル
②認証
③アクセス権限セットと
その割り当てに基づく表示
④選択した
AWSアカウントのRoleに
Assume Role
Slide 24
Slide 24 text
アクセス権限セットとは?
● AWSアカウントに対するアクセス権限の定義 ( ≒ IAM Role )
● 最大10個のAWS管理ポリシーと
最大1個のカスタムアクセス権限ポリシーを定義 (IAM Policyと同じ記法)
24
アクセス権限
セットB
アクセス権限
セットC
SRE
開発者
PowerUserAccess
AWS管理ポリシー カスタム権限ポリシー
AmazonEC2FullAccess
ReadOnlyAccess 特定のS3バケットへの書き込み
と
特定のSecretsManagerの読み取り
Slide 25
Slide 25 text
目次
● 自己紹介
● AWS SSO の概要
● AWS SSO の特長
● AWS SSO のはじめ方
● AWS SSO の解説
● AWS SSO の補足説明
● さいごに
25
Slide 26
Slide 26 text
補足説明
● 認証情報の取得方法
○ ポータル
○ CLI (AWS CLI バージョン2でのみ利用可能)
26
$ aws configure sso # 初回のみの設定
$ aws sso login --profile [profile] # 期間中有効な認証情報取得
※AWS SSOの認証情報は ~/.aws/credentials に書き込まない
=> 古いライブラリだと認証情報を認識できないことがある
=> ライブラリ最新化 or 環境変数で設定 or 他のツールで設定
Slide 27
Slide 27 text
目次
● 自己紹介
● AWS SSO の概要
● AWS SSO の特長
● AWS SSO のはじめ方
● AWS SSO の解説
● AWS SSO の補足説明
● さいごに
27
Slide 28
Slide 28 text
さいごに
● アカウント管理 / 権限管理は大変だけど大事。
● AWS SSO でみんな (情シス / 開発者 / ユーザーなど) が
幸せな世界線に行けるといいですね。
● 「AWS SSO 良さそう!使いたい!」っと思ってくれたら幸いです。
28
Slide 29
Slide 29 text
おしまい
29
ご清聴ありがとうございました
▶ 拍手する
たたかう
まほう
どうぐ
にげる