シングルサインオンを導入したら運用がこんなに楽になった！

Transcript

1. シングルサインオンを導入したら運用がこんなに楽になった！ ENECHANGE株式会社 CTO室 常盤匠 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

2. ▪名前 常盤 匠（ときわ たくみ） ▪所属 ENECHANGE株式会社 - 2021/11~ バックエンドエンジニア -

   2024/10~ CTO室に異動 インフラ・SRE 開発事業部への技術支援を担当 ▪好きなもの インテリア 自己紹介 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

3. 1. なぜシングルサインオンの導入を 2. 導入までの道のり 3. 導入して楽になったこと 4. 今後進めること こんな話をします ハッシュタグ：#jawsdays2025

   #jawsug #jawsdays2025_b

4. なぜシングルサインオンの導入を？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

5. ついにマルチアカウントに • 本番環境と非本番環境、そして様々な部署のプロダクトを1つのアカウントに 集約していた • AWS Well-Architected フレームワークに則り、部署や本番・非本番のアカウ ントを分けるプロジェクトが進行した •

   マルチアカウント環境でもAWS操作の体験を損なうことなく運用するためにシ ングルサインオンの導入も進めることに ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b ←本番 ←stg ←dev 別部署本番→ 別部署dev1→ 別部署dev2→

6. AWS IAM Identity Center • ユーザーを一度作成すると、複数のAWSアカウントやアプリケーションへのア クセスを一元管理できる • ユーザーID を直接作成することも、Microsoft

   Entra ID などの既存の ID ソー スを接続することもできる • AWS Organizationとの統合でマルチアカウントへシングルサインオンを簡単 に実現できる ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

7. 導入までの道のり ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

8. IDソースの選定 Microsoft Entra IDを採用 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b IAM Identity Center

   SAML連携 Entra ID ユーザー 部署や契約形態を問わず会社全体で統一的なIDとして運用されていて、CTO室にも 権限があったため

9. SCIM(System for Cross-domain Identity Management) 自動プロビジョニングの有効化 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 自動で作成・同期

   Entra ID ユーザー Entra IDのユーザー情報からIAM Identity Centerのユーザーリソースを自動で作 成・同期 IAM Identity Center

10. 許可セットの運用方法の策定 既存のIAMロールの権限を踏襲 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 今まで IAMユーザー プロダクトA 許可セット これから

    Identity Center ユーザー 本番アカウント 非本番アカウント admin プロダクトB プロダクトA プロダクトB プロダクトC IAMロール

11. ABAC(属性ベースのアクセスコントロール) ABACは採用が難しかった ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b ABAC=ユーザーの属性値に基づいてアクセスをコントロールする Identity Center ユーザー 組織

    aaa 部署 bbb チーム ccc ユーザータイプ ddd 1. 設計が難しい 2. 運用に耐えるように属性情報を一から つけていくのは非常に大変 3. メンテナンスコストがそこそこ大きい

12. 適用後のログインのフロー ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 1. Entra IDの id/pass/MFAを求 められる 2.アクセスポー

    タルへログイン 3.ロールを選択し対 象アカウントへログ インできる

13. 導入して楽になったこと ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

14. 得られたメリット ▪マルチアカウントでもログインが簡単に 開発者が異なるIAMユーザーを管理することなく、ログインが簡単に ▪IAMユーザーの管理から解き放たれた 過去経緯によりIAMユーザーの作成が特定のメンバーしかできない状況であった 外部IdPをIDソースにすることで複数アカウントのIAMユーザー作成の手間が大幅 に軽減された ▪IAMユーザー(開発者)のアクセスキー・シークレットキーが不要に AWS CLIの利用においても外部IdPの認証があるため、AWSでユーザーごとの秘匿

    キーが不要になった ロール引き受けのprofile設定は aws configure sso で可能 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

15. 今後進めること ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

16. 今後進めること 開発事業部に運用してもらい適宜チューニングを 最適化 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 許可セット Identity Center ユーザー

    本番アカウント 非本番アカウント admin プロダクトB プロダクトA

17. • 予防的統制・検知 ◦ Control Tower ◦ Organization SCP ◦ Config

    ◦ Security Hub ◦ etc... 今後進めること AWS Organization を最大限に活用 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b やることはまだまだたくさんある！！！

18. まとめ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

19. シングルサインオンを導入したら運用がこんなに楽になった！ • マルチアカウントでシングルサインオンの実現 ◦ IAM管理・ログインが簡単に • 導入に至るまでの判断ポイント ◦ IDソース ◦

    SCIM ◦ 許可セット ◦ ABAC • 今後進めること ◦ 運用最適化 ◦ AWS Organization をフル活用する まとめ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b
20. None