個人でもIAM Identity Centerを使おう!(アクセス管理編)

Transcript

1. 個人でも IAM Identity Centerを使おう! 戸井田 理 1 / 13

2. $ whoami 名前:戸井田 理(みどり) / @ryder472 所属: 日本ラッド株式会社 クラウドソリューション事業部ビッグデータ技術部 好きなAWSサービス:

   AWS Lambda, Amazon GuardDuty JAWS-UG 茨城 運営メンバー 第007636号 2 / 13

3. AWSへのログインどうしてます? 3 / 13

4. AWSへのログインどうしてます? IAMユーザーを作ってそこに素直にログイン IAMユーザーを作ってそこから目的のアカウント (orロール)へスイッチロール IAM Identity Centerを使ってSSOして目的のロールへ ルートユーザーのままログイン(!?) 4 /

   13

5. AWSへのログインどうしてます? IAMユーザーを作ってそこに素直にログイン IAMユーザーを作ってそこから目的のアカウント (orロール)へスイッチロール IAM Identity Centerを使ってSSOして目的のロールへ ルートユーザーのままログイン(!?) 5 /

   13

6. IAM Identity Centerとは 複数のAWSアカウントやアプリケーションに対して アクセスを提供する 大きく分けるとアクセス管理とID管理の2つに分けられる 昔はAWS Single Sign-Onと呼ばれていた 6

   / 13

7. IAM Identity Centerでアクセス管理できるもの • (AWS Organizations配下の)AWSアカウント • (AWS Organizations配下ではない)AWSアカウント •

   AWSマネージドアプリケーション • サードパーティのSaaS 7 / 13

8. IAM Identity Centerでアクセス管理できるもの • (AWS Organizations配下の)AWSアカウント どのAWSアカウントをどのユーザーorグループにどういう権限 を与えるのかを設定する｡ 8 /

   13 AWSアカウント ユーザー グループ アクセス許可セット

9. 例 9 / 13 AWSアカウント 123456789012 グループ Developer アクセス許可セット PowerUserAccess

   アクセス許可セット ReadOnlyAccess ユーザー Admin アクセス許可セット AdministratorAccess

10. IAM Identity Centerでアクセス管理できるもの • (AWS Organizations配下ではない)AWSアカウント 他のアプリケーションと同様にアプリケーションカタログから追 加 該当のアカウントの IAMロールにスイッチ

    10 / 13

11. IAM Identity Centerでアクセス管理できるもの • AWSマネージドアプリケーション Amazon CodeCatalyst､Amazon Q Developer(Pro)､Amazon QuickSightなどが対応

    →個人利用だとBuilder IDをそのまま使ったほうが便利かも 11 / 13

12. IAM Identity Centerでアクセス管理できるもの • サードパーティのSaaS DropboxやAdobe CCなど313種類が現在アプリケーション カタログから選択して設定可能 設定するときのガイドも見れます↓ 12

    / 13

13. IAM Identity Centerでアクセス管理できるもの • (AWS Organizations配下の)AWSアカウント →個人的に一番つかうのはここ • (AWS Organizations配下ではない)AWSアカウント

    • AWSマネージドアプリケーション • サードパーティのSaaS →外部IdPなしでもSSOできる 13 / 13