Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS SSO でログインを簡単に〜IAMユーザ管理をしたくない〜
Search
wkm2
February 24, 2022
Technology
1
540
AWS SSO でログインを簡単に〜IAMユーザ管理をしたくない〜
JAWS-UG 名古屋 情シス会 登壇資料
https://jawsug-nagoya.doorkeeper.jp/events/132953
wkm2
February 24, 2022
Tweet
Share
More Decks by wkm2
See All by wkm2
AWSネイティブなセキュリティを考える
wkm2
1
240
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
wkm2
0
110
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
wkm2
1
550
Keynote以外のアップデートピックアップ!
wkm2
1
90
Bedrock素人がKnowledgeBaseでRAGを構築するまで
wkm2
2
330
EC2を再起動したいがためにNew Relicを使った話
wkm2
1
340
ネットワークサービスフル活用で実現するハイブリッド構成 〜コープさっぽろのネットワーク全体像〜
wkm2
2
1.8k
固定IPでLambdaにHTTPリクエストを投げる経路を試してみた
wkm2
1
700
AWS SSOとGoogle Idpのおいしい関係 ~ QuickSightに楽してログインしたい ~
wkm2
0
1.3k
Other Decks in Technology
See All in Technology
転生CISOサバイバル・ガイド / CISO Career Transition Survival Guide
kanny
3
410
エンジニアのためのドキュメント力基礎講座〜構造化思考から始めよう〜(2025/02/15jbug広島#15発表資料)
yasuoyasuo
15
5.5k
まだ間に合う! エンジニアのための生成AIアプリ開発入門 on AWS
minorun365
PRO
4
580
Platform Engineeringは自由のめまい
nwiizo
4
1.9k
The 5 Obstacles to High-Performing Teams
mdalmijn
0
270
自動テストの世界に、この5年間で起きたこと
autifyhq
10
7.1k
リアルタイム分析データベースで実現する SQLベースのオブザーバビリティ
mikimatsumoto
0
950
バックエンドエンジニアのためのフロントエンド入門 #devsumiC
panda_program
16
6.5k
『衛星データ利用の方々にとって近いようで触れる機会のなさそうな小話 ~ 衛星搭載ソフトウェアと衛星運用ソフトウェア (実物) を動かしながらわいわいする編 ~』 @日本衛星データコミニティ勉強会
meltingrabbit
0
120
目の前の仕事と向き合うことで成長できる - 仕事とスキルを広げる / Every little bit counts
soudai
22
5.8k
CZII - CryoET Object Identification 参加振り返り・解法共有
tattaka
0
240
Fintech SREの挑戦 PCI DSS対応をスマートにこなすインフラ戦略/Fintech SRE’s Challenge: Smart Infrastructure Strategies for PCI DSS Compliance
maaaato
0
450
Featured
See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.2k
Designing Experiences People Love
moore
139
23k
The Cult of Friendly URLs
andyhume
78
6.2k
VelocityConf: Rendering Performance Case Studies
addyosmani
328
24k
Faster Mobile Websites
deanohume
306
31k
The Language of Interfaces
destraynor
156
24k
Navigating Team Friction
lara
183
15k
The Invisible Side of Design
smashingmag
299
50k
Scaling GitHub
holman
459
140k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
31
2.1k
How STYLIGHT went responsive
nonsquared
98
5.3k
Being A Developer After 40
akosma
89
590k
Transcript
AWS SSO でログインを簡単に 〜IAMユーザ管理をしたくない〜 生活協同組合コープさっぽろ デジタル推進本部 システム部 若松 剛志
Who am I ? 生活協同組合コープさっぽろ デジタル推進本部 インフラチームリーダー
若松 剛志 インフラエンジニア/マネージャー AWS Certified 12冠 SES会社→アイレット(cloudpack)→コープさっぽろ 秋田→新潟→東京→北海道 好きなサービス:Transit Gateway 好きな日本酒:喜久酔 @t_wkm2
ノリで北海道に移住しちゃいました! Who am I ?
@t_wkm2
コープさっぽろって何?
コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!)
コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!)
コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!)
コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!) 生活に関わることを いろいろやってます!!
ユーザがユーザの体験を作る • ユーザ企業の中のユーザが作る側に回るのは価値がある • デジタルの民主化、DXの種がここにある • そんなコープのDXが紹介されている コープさっぽろDX(note)はこちら↓
Single Sign-On
Single Sign-On Wikipedia より シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。
Single Sign-On Wikipedia より シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。
つまり、1つのアカウント認証で いろんなサービス使えますよと
AWS Single Sign-On (SSO)
AWS Single Sign-On (SSO) AWSサービスの1つで、ユーザを一元管理し、AWSアカウントや 各種SaaSへのアクセスが可能 Client AWS SSO
コープさっぽろが AWS SSOを導入した理由
コープさっぽろがAWS SSOを導入した理由 • とにかくAWSアカウントが多い • いつも使ってるGoogleアカウントでログインしたい • 多くの非システム部ユーザーがQuickSightを使いたい
コープさっぽろがAWS SSOを導入した理由 • とにかくAWSアカウントが多い 今何アカウントあるっけ? とある メンバーY
コープさっぽろがAWS SSOを導入した理由 • とにかくAWSアカウントが多い 今何アカウントあるっけ? 193 ひえっ とある メンバーY ※2022/2現在
コープさっぽろがAWS SSOを導入した理由 • とにかくAWSアカウントが多い ◦ AWSアカウントを以下のように切っている。 ▪ システム単位 ▪ 環境単位(本番、ステージング、開発)
◦ 当然のようにアカウント数がめっちゃ増える
コープさっぽろがAWS SSOを導入した理由 • いつも使ってるGoogleアカウントでログインしたい ◦ コープさっぽろはGoogle Workspaceを中心に仕事をして いる ◦ 当然IdpもGoogle
Idpを利用したい ◦ Google Idpを直接AWSアカウントにSAML連携すると管 理が煩雑すぎて頭がおかしくなる
コープさっぽろがAWS SSOを導入した理由 • 多くの非システム部ユーザーがQuickSightを使いたい ◦ QuickSightを店長に公開して売上の速報などを見せたい ◦ 異動も多いのでアカウント管理が面倒 ◦ 先の理由によりGoogle
Idpを利用したい ◦ 先の理由により頭がおry(
コープさっぽろの AWS SSO利用例
コープさっぽろのAWS SSO利用例 Google Idpと連携して以下のような構成としている Client AWS SSO Amazon QuickSight Google
Idp AWS Management Console
コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 1. AWS SSOのポータルっぽい画面へGoogleアカウントでログ イン
コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 2. AWS SSOのポータル画面へログイン
コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 2. AWS SSOのポータル画面へログイン
コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 2. AWS SSOのポータル画面へログイン
コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 3. ロールを選んでログイン
コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 4. おなじみAWSマネージメントコンソールへ
コープさっぽろのAWS SSO利用例 QuickSightへのログイン手順 1. AWS SSOのポータルっぽい画面へGoogleアカウントでログ イン
コープさっぽろのAWS SSO利用例 QuickSightへのログイン手順 2. AWS SSOのポータル画面へログイン
コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 3. おなじみAWSマネージメントコンソールへ
めっちゃ楽
コープさっぽろのAWS SSO利用例 ここが便利だAWS SSO • AWSログイン用スプシからの解放 • IAMユーザー/QuickSightアカウント管理からの解放
コープさっぽろのAWS SSO利用例 ここが辛いよAWS SSO • Google連携が正式にサポートされていない • IAMロールの細かい機能が使えない • OUが扱いづらい
Google連携が正式にサポートされていない • awslabs/ssosync ◦ AWS謹製GoogleSCIMツール ◦ GitHubで公開されている (https://github.com/awslabs/ssosync) ◦ Lambdaを定期実行してGoogle↔AWS
SSOのユーザ同 期を行う ◦ SAMテンプレートを含んでおり、簡単に展開可能
Google連携が正式にサポートされていない • 定期実行 • ログイン Client AWS SSO Amazon QuickSight
Google Idp AWS SSO Google Idp AWS Lambda IDをコピー IDを取得 AWS Management Console
IAMロールの細かい機能が使えない AWS SSOだとIAMの Permission Boundaryとかカ スタマー管理ポリシーは使え なかったよ マジかよ ※2022/2現在 とある
メンバーY
IAMロールの細かい機能が使えない • IAMロールはAWS SSOから自動生成するしかない • 自動生成されてIAMロールはイジれない • カスタマー管理ポリシーは使えない • Permission
Boundaryは使えない
OUが扱いづらい • AWSアカウントを扱うときはOU単位にしたい • がしかし、権限付けがOU単位でできない • それってどういうことか
OUが扱いづらい • とにかくAWSアカウントが多い 何アカウントに権限必要? 193 ひえっ とある メンバーY ※2022/2現在
アップデート期待してます!
まとめ • GoogleアカウントでAWSにログインしている • ログインするだけならめっちゃ楽 • IAM周りはもう少しこなれてほしい • Google連携正式対応待ってます!
We are hiring !! コープさっぽろではエンジニアを募集しています!! 転職ついでに北海道移住最高ですよ!!