Upgrade to Pro — share decks privately, control downloads, hide ads and more …

業務委託やコミュニティメンバーでも活用できる IAM Identity Center

Hisashi SOGA
PRO
September 06, 2022
Technology
0
1k

業務委託やコミュニティメンバーでも活用できる IAM Identity Center

AWS IAM Identity Center、便利だなー、と思います。
Organization 有効化が前提なので、組織下でないと利用が難しいと思いきや、方法次第で然程コストをかけずに活用できそうだ、と最近気がつきました。
業務委託メンバーが主力だったり、カンファレンスの機会のたびに集合・解散を繰り返すような流動的な開発組織においても利用できるのではないのかと思うこのメソッドの概要と運用の事例を、ご紹介できればと思います。

Hisashi SOGA
PRO

September 06, 2022
Tweet

More Decks by Hisashi SOGA

See All by Hisashi SOGA
NPOと取り組むスモールスタートな業務IT化 | TRACK C8
sogaoh
PRO
0
50
PHPプロダクトのDeployをラクにするCLIツールたち
sogaoh
PRO
1
500
Laravelプロダクト Fargate化への道
sogaoh
PRO
2
990
本番でしか起きない問題に早く気が付けるように、僕は Laravel Dusk で CI する
sogaoh
PRO
0
570
間隙を縫って現場と自分を Extend していく流浪人スタイル
sogaoh
PRO
1
1.5k
sogaoh-2019
sogaoh
PRO
0
300
First step to Reiwa Shikimoku
sogaoh
PRO
0
200
gcloud move 10 times in 4 hours
sogaoh
PRO
0
940
Ansible-Playbook-CleanUp-WinUpd-TempFiles
sogaoh
PRO
2
2.4k

Other Decks in Technology

See All in Technology
ChatGPTを前に頭が真っ白を乗り越え人が答えることが困難な認知負荷MAXなタフクエスチョンをどんどん回答させてプロダクト価値を爆速探求するぞ/cognitive_load_question_and_chatgpt
moriyuya
2
340
コツコツととのえるLTの段取り/engineers_lt
nishiuma
4
230
【IoT-Tech Meetup #5】WireGuardを動かす環境やハードウェア紹介
soracom
PRO
0
140
【2023】SWR vs TanStack Query
ytaisei
1
240
IoTだからこそ、サーバーレスを活用すべき3つの理由
soracom
PRO
2
890
セキュアエレメントによるWireGuardのセキュリティ強化
kmwebnet
0
140
俺の推し活〜わたしとみしま〜XP祭り2023 LT
junki
0
120
2023-09-05_OCIJP_まれによくあるマルチクラウドでDB-AP分離構成のこと
hk_shino
2
220
1,800万人が利用する『家族アルバム みてね』におけるK8s基盤のアップグレード戦略と継続的改善 / FamilyAlbum's upgrade strategy and continuous improvement for K8s infrastructure
kohbis
0
350
Microservices - Where are my Transactions and my Consitency????
ewolff
2
150
20230930_JAWS-FESTA_REJECT-CON_ControlTower
hiashisan
0
270
Ubieのアプリ開発を支える自動テスト
guchey
0
160

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
aleyda
12
5.7k
The Illustrated Children's Guide to Kubernetes
chrisshort
26
45k
Learning to Love Humans: Emotional Interface Design
aarron
265
38k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
49
16k
YesSQL, Process and Tooling at Scale
rocio
159
13k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.2k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6.1k
GraphQLの誤解/rethinking-graphql
sonatard
44
8.5k
Debugging Ruby Performance
tmm1
68
11k
StorybookのUI Testing Handbookを読んだ
zakiyama
9
3.9k
Embracing the Ebb and Flow
colly
77
3.8k
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.2k

Transcript

  1. 業務委託やコミュニティ

    メンバーでも活用できる

    IAM Identity Center
    2022/10/08
    @sogaoh
    https://jawsdays2022.jaws-ug.jp/
    1

    View Slide

  2. About Me


    1
    月 理事、5
    月 Staff
    3
    月 設立、代表社員
    6
    月〜 既存Web
    サービスリニューアルプロジェクトにおけるSRE
    ロール、

    複業でクラウドインフラ・CI/CD
    の構築・運用サポートなど
    Hisashi SOGA
    SRE NEXT Assoc. SRE NEXT 2022
    ant-in-giant G.K.
    2

    View Slide

  3. Recent Activity
    3

    View Slide

  4. AGENDA
    はじめに
    Main
    組織にSSO
    設定
    Main
    組織配下にFree
    組織を設定
    Free
    組織メンバーへのSSO
    設定
    この方法の発展
    おわりに


    資料は公開してあります ->


    ※1.
    履歴が増殖するため、シークレットウィンドウでご覧ください(Chrome
    を推奨)
    ※2.
    ところどころの青の文字はリンクになっています
    ※3.
    スペースで次のページに進みます([o]
    でOverview
    が見れます))



    (
    はダウンロードしたPDF
    ならリンクに飛べるのでご利用ください)
    https://pres.ant-in-giant.llc/slide/20221008
    SpeakerDeck

    4

    View Slide

  5. はじめに
    Main
    組織にSSO
    設定
    Main
    組織配下にFree
    組織を設定
    Free
    組織メンバーへのSSO
    設定
    この方法の発展
    おわりに
    5

    View Slide

  6. 状況想定
    Main
    組織 :
    プロダクトA
    を運営する会社

    企画・デザイン・開発の部署あり。小人数ではない
    Google Workspace
    高めエディション (*1)
    業務委託メンバー数名ほど(リモート・関東)
    Google Workspace Business Starter
    協力会社メンバー数名ほど(リモート:関東以外)
    IdP
    特になし
    カレンダー共有は個人のGmail
    など
    (*1) refs: Google Workspace
    (旧称 G Suite
    ):
    お支払いプラン
    6

    View Slide

  7. IAM Identity Center
    導入の

    モチベーション
    アカウント管理(入社/
    退職対応)が大変
    業務委託・協力会社メンバー契約開始終了もある
    アクセスキー・シークレットキー漏洩のリスク
    ログイン操作の手間を減らしたい
    不要な IAM
    ユーザーを作りたくない
    時流に乗りたい
    ※ IAM Identity Center
    は以降 SSO
    と表現します(長いので)

    ※ Google Workspace
    は以降 GW
    と表現します(長いので)
    7

    View Slide

  8. 課題解決への一手
    GW
    高めエディションに下位組織を設けて

    業務委託・協力会社メンバーをそこに投入
    この下位組織には Google Cloud Identity Free

    (
    以降 GCIF)
    の無料ライセンスを割り当てる (*2)
    ※ 以降、この下位組織を Free
    組織 と表現します
    [
    デメリット]

    個々のメンバーが管理するアカウントが増える
    業務委託・協力会社、副業・アルバイト・…
    (*2) refs: (2021.11.06)
    完全無料のIDaaS
    !?Google Cloud Identity Free
    を試してみる
    8

    View Slide

  9. はじめに
    Main
    組織にSSO
    設定
    Main
    組織配下にFree
    組織を設定
    Free
    組織メンバーへのSSO
    設定
    この方法の発展
    おわりに
    9

    View Slide

  10. 組織と AWS
    の紐付け
    管理アカウントで AWS Organizations
    を有効化
    を確認したうえで、SSO (*3)
    を有効化
    ID
    ソースを選択する
    に GW
    はない
    ので、手動で SAML
    連携設定を行う (*4)
    (*3) IAM Identity Center

    (*4)
    ガイド (2022/8/29
    時点) :
    ・・・以下↓、注意点
    全面英語、画面が最新でない
    Google GCP - create Directory Service API
    から AWS SSO - Check Provisioning
    まではオプショナル
    Deleting AWS resources deployed in this lab
    はしない
    前提条件
    サポートされている ID
    プロバイダー
    AWS Control Tower Workshops > … > Google Workspace
    10

    View Slide

  11. 許可セット (IAM)
    の準備
    ユーザー追加
    ユーザー名 と E
    メールアドレス は同じにする
    ユーザーが所属するグループを作成
    権限(≒許可セット)がわかりやすいようにすると良い
    許可セットを作成
    事前定義された許可セットから選択 (*5) or
    カスタマイズされたIAM
    ポリシー(カスタム許可セット)(*6)
    (*5) refs: (
    ※ Read-only access
    が外れている)

    (*6) refs: , , …

      インラインポリシーを作りこなせると強そう
    AWS managed policies for job functions
    Managed policies and inline policies AWS services that work with IAM
    11

    View Slide

  12. 許可セットを割り当てる
    SSO
    アクセスを行いたい AWS
    アカウント に レ
    「ユーザーまたはグループを割り当て」を行う
    割り当てたいグループ or
    ユーザーに レ して「Next

    割り当てたい許可セットに レ して「Next

    確認して「送信」
    とても丁寧で詳しい説明ブログ:“
    え、IAM
    ユーザーを作らなくてもマネジメントコンソールにログインできるの!?”
    (2022.01.19)

    (2021.11.26)
    シングルサインオン実践編
    シングルサインオン考え方編
    12

    View Slide

  13. はじめに
    Main
    組織にSSO
    設定
    Main
    組織配下にFree
    組織を設定
    Free
    組織メンバーへのSSO
    設定
    この方法の発展
    おわりに
    13

    View Slide

  14. GCIF
    の開始
    特権管理者で、GW
    管理画面に入る
    お支払い >
    その他のサービスを… > Cloud Identity
    Cloud Identity (*7)
    を「開始」
    (*7) refs: Cloud Identity
    とは | Google Workspace
    管理者ヘルプ
    14

    View Slide

  15. Free
    組織にGCIF
    ライセンス割当
    お支払い >
    ライセンスの設定
    Main
    組織の 自動ライセンス ->
    オフ (*8)
    ディレクトリ >
    組織部門
    Main
    組織の配下に新しいFree
    組織を作成する (*9)
    (
    再び)
    お支払い >
    ライセンスの設定
    作成したFree
    組織の自動ライセンス オフ を確認
    (*8) refs:

    (*9) refs:

    設定時に Google Workspace
    ライセンスの自動割り当てを無効にする | Google Workspace
    管理者ヘルプ
    組織部門を追加する | Google Workspace
    管理者ヘルプ
    15

    View Slide

  16. Free
    組織にユーザー追加
    ディレクトリ >
    ユーザー >
    新しいユーザーの追加
    ユーザー情報の設定
    姓・名・メールアドレス・ドメイン
    ユーザーの…
    、組織部門、…
    を管理するを展開
    Free
    組織を選択して「新しいユーザーの追加」
    ユーザー名・パスワードを控える(伝える)
    お支払い >
    サブスクリプション を確認
    有料ライセンス割り当て数が増えていたら直す (*10)
    (*10) refs:
    ライセンス >
    ライセンスの割り当て、削除、再割り当て | Google Workspace
    管理者ヘルプ
    16

    View Slide

  17. はじめに
    Main
    組織にSSO
    設定
    Main
    組織配下にFree
    組織を設定
    Free
    組織メンバーへのSSO
    設定
    この方法の発展
    おわりに
    17

    View Slide

  18. SSO
    でFree
    組織メンバー追加
    Main
    組織と同様にユーザー追加
    ユーザー名 と E
    メールアドレス は同じにする
    Main
    組織と同様にグループにユーザーを追加
    既存であればこの段階で許可セットが割り当てられる
    必要に応じて、許可セットを割り当て
    新規グループ (or
    ユーザー)
    の場合など
    18

    View Slide

  19. Main
    組織と同様にできること
    AWS
    アクセスポータルの URL
    から SSO
    GW
    からのマネコン接続も
    権限に応じた、AWS
    リソースの利用
    デフォルトの PowerUserAccess
    のみだと

    IAM
    リソース操作に制約があるので

    必要に応じて IAMFullAccess
    ポリシーを
    請求管理画面への閲覧制限なども

    許可セット設定次第で可能
    19

    View Slide

  20. 当初のモチベーション等への達成
    アカウント管理の簡素化 ○
    アクセスキー類漏洩のリスク低減 ◎
    ログイン操作の手間低減 ○
    余計な IAM
    ユーザー作成不要 ○
    時流に乗る ◎
    GW
    のコストは(ほぼ)増えていない ○
    20

    View Slide

  21. はじめに
    Main
    組織にSSO
    設定
    Main
    組織配下にFree
    組織を設定
    Free
    組織メンバーへのSSO
    設定
    この方法の発展
    おわりに
    21

    View Slide

  22. マネコンへの入り口は開いた
    を見直す
    を抑えにいく
    大変そうだ・・・少しずつやるのが良さそう (*11)




    組織のみんなにAWS
    をうまく使ってもらえれば

    それでOK
    (*11) refs:

       : (2022.08.26)
    資料
    AWS
    アカウント作成時にやるべきこと
    マルチアカウント管理の基本
    プロダクトと組織の成長を見据えたスマートラウンドの AWS
    マルチアカウント戦略
    AWS Startup Community Conference 2022
    22

    View Slide

  23. GCIF
    以外の方法も知る
    フェデレーティッド シングルサインオン (*12) x
    踏み台アカウントパターン (*13)




    -> AWS SSO (IAM Identity Center)
    よりは煩雑と

    なるものの、IAM
    ユーザーはほぼ不要にできる
    (
    個人的には)MFA
    不要な方法に寄せたい
    (*12) refs:

    (*13) refs:
    Google Workspace
    を用いて AWS
    へのフェデレーティッド シングルサインオンをセットアップする方法
    AWS
    のマルチアカウント管理ことはじめ ログインの一元化の設計
    23

    View Slide

  24. よりよい管理の模索
    IaC
    で状態管理
    Module
    Module
    など …
    IAM
    インラインポリシーを自在に使いたい
    からの果てなき道…
    cloudposse/terraform-aws-sso
    cloudposse/aws-google-auth
    AWS Identity and Access Management
    Documentation
    24

    View Slide

  25. はじめに
    Main
    組織にSSO
    設定
    Main
    組織配下にFree
    組織を設定
    Free
    組織メンバーへのSSO
    設定
    この方法の発展
    おわりに
    25

    View Slide

  26. まとめ (?)
    AWS SSO
    のはじめかた、

    それによって解決できる課題
    GCIF
    という IdP
    の紹介、

    利用する際の注意点
    複数の情報・技術を組み合わせてみる
    ことから生まれる発展可能性
    26

    View Slide

  27. 余談
    27

    View Slide

  28. End
    お気づきの点あれば
    まで
    @sogaoh
    28

    View Slide