Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSO方式とJumpアカウント方式の比較と設計方針

Avatar for Yuto Obayashi Yuto Obayashi
December 10, 2025
Technology
7
1k

 SSO方式とJumpアカウント方式の比較と設計方針

Avatar for Yuto Obayashi

Yuto Obayashi

December 10, 2025
Tweet

More Decks by Yuto Obayashi

See All by Yuto Obayashi
生成AI時代に理解しておきたい認証認可
Avatar for Yuto Obayashi yuobayashi
4
570
AWSサービスアップデート2025年5月分
Avatar for Yuto Obayashi yuobayashi
1
39
ルートユーザーの活用と管理を徹底的に深掘る
Avatar for Yuto Obayashi yuobayashi
8
850
AWSにおけるサイバー攻撃の傾向と具体的な対策
Avatar for Yuto Obayashi yuobayashi
8
990
AWSサービスアップデート2025年2月分
Avatar for Yuto Obayashi yuobayashi
2
230
AWSアカウントのセキュリティ自動化、どこまで進める? 最適な設計と実践ポイント
Avatar for Yuto Obayashi yuobayashi
7
5.1k
CNAPPから考えるAWSガバナンスの実践と最適化
Avatar for Yuto Obayashi yuobayashi
6
3k

Other Decks in Technology

See All in Technology
kintone開発のプラットフォームエンジニアの紹介
Avatar for Cybozu cybozuinsideout
PRO
0
560
【Oracle Cloud ウェビナー】ランサムウェアが突く「侵入の隙」とバックアップの「死角」 ~ 過去の教訓に学ぶ — 侵入前提の防御とデータ保護 ~
Avatar for oracle4engineer oracle4engineer
PRO
2
190
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.7k
Exadata Database Service ソフトウェアのアップデートとアップグレードの概要
Avatar for oracle4engineer oracle4engineer
PRO
1
1.2k
Security Hub と出会ってから 1年半が過ぎました
Avatar for rch850 rch850
0
170
Databricks Free Editionで始めるLakeflow SDP
Avatar for Takaaki Yayoi taka_aki
0
170
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
350
みんなでAI上手ピーポーになろう! / Let’s All Get AI-Savvy!
Avatar for 株式会社カミナシ kaminashi
0
180
ビジュアルプログラミングIoTLT vol.22
Avatar for 1ft-seabass 1ftseabass
PRO
0
110
形式手法特論:コンパイラの「正しさ」は証明できるか? #burikaigi / BuriKaigi 2026
Avatar for y_taka_23 ytaka23
17
6.4k
Master Dataグループ紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
4.2k
Proxmoxで作る自宅クラウド入門
Avatar for koinunopochi koinunopochi
0
180

Featured

See All Featured
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
7.9k
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
100
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.1k
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
0
1.9k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
1
77
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
2.9k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
620
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
Avatar for Helen Beal helenjbeal
1
85
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
57
14k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.5k

Transcript

  1. SSO方式とJumpアカウント方式の比較と設計方針 2025年12月11日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼

    登壇者:大林 優斗 ◼ 受賞歴 ⚫ 2025 Japan AWS Top Engineer (Services) ⚫ 2024 Japan AWS Jr. Champion ◼ AWS認定資格 ◼ 書籍執筆 自己紹介 ◼ ブログ執筆 ◼ NRI Netcom BLOG:https://tech.nri- net.com/archive/author/y-obayashi ◼ 登壇活動 ⚫ NRIネットコム主催の外部向け勉強会(TECH & DESIGN STUDY) ⚫ JAWS-UG朝会 ⚫ JAWS Days 2025 ⚫ 他社で開催される勉強会 ⚫ 登壇資料:https://speakerdeck.com/yuobayashi

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します なぜ今このテーマなのか

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 多くのAWS環境では、アカウント数の増加とともに以下の議論が必ず発生します。

    ◼ 「Jumpアカウント経由でアクセスするべきか」 ◼ 「SSOに全面移行すべきか」 実際の環境を見てみると、以下の状況になっている環境が多くあります。 ◼ セキュリティだけでSSOが選ばれている ◼ 既存運用の延長でJumpが残り続けている ◼ 両方が混在して統制が取れない ➢SSO方式とJumpアカウント方式を比較し、最終的にどのように意思決定すべきかを整理します。 なぜ今このテーマなのか

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Jumpアカウント方式

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 概要

    Jumpアカウント方式 ◼ Jumpアカウント方式は以下のステップを踏む。 ① 利用者はまず Jumpアカウントにログイン ② そこから各業務用アカウントへ AssumeRole で横断アクセス Jumpアカウント IAM ユーザー 開発環境 Role

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 採用されるパターン

    Jumpアカウント方式 AWSアカウントが増えてきたが、IAMユーザーの作成を最小限にしたい。 Jumpアカウント IAM ユーザー 開発環境 検証環境 本番環境 Role Role Role

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 課題

    Jumpアカウント方式 ① アカウントが増えるほどロール爆発+設定破綻 ⚫ 30アカウント → 30ロール ⚫ 100アカウント → 100ロール ⚫ 500アカウント → 人的管理が物理的に不可能 ② Jumpが“特権ゾーン”になりやすい ⚫ 本来は単なる経由点のはずが ⚫ 「何でもできる管理特権」が集中する ⚫ 結果:侵害されたら全滅構成 ③ 属人化が極端に進む ⚫ 誰がどのアカウントに入れるのか分からない ⚫ 設計者しか構成を理解していない ⚫ 異動・退職で 即ブラックボックス化 Jumpアカウント アカウントA Role Role アカウントB Role アカウントC Role Role Role ・ ・ ・

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します SSO方式

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 概要

    SSO方式 SSO方式とは、 ⚫ 組織のIdP(Entra ID / Okta / Google Workspace など)と連携 ⚫ 利用者は 1回の認証で複数AWSアカウントに直接ログイン ⚫ 権限は グループ × ロールの割当で集中管理 という方式。 AWS IAM Identity Center ユーザー 開発環境 検証環境 本番環境 Role Role Role

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 設計のポイント①:IdPの選定

    SSO方式 ◼ IdP は「誰が」「どのグループに属しているか」の一次情報源 ⚫ 社員・協力会社・業務委託などの種別もここで管理する ◼ AWS 側ではユーザーを新たに増やさず、IdP を唯一の認証基盤にする ◼ グループ設計は「組織・職務」ベースで行い、 ⚫ プロジェクトごとにバラバラにグループを作らせない ◼ 入社/異動/退職などのライフサイクルは ⚫ HR → IdP → IAM Identity Center の順に自動反映させる ◼ MFA・条件付きアクセス・デバイス制限など、 ⚫ 「ログインしてよい条件」は IdP 側で統制する ◼ 逆に、AWS 内での具体的な権限内容は許可セット/IAM ロール側で持つ ⚫ IdP は「誰か」、Identity Center は「どこに・どのロールで入るか」を担当

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 設計のポイント②:許可セット

    SSO方式 ◼ Identity Center の許可セットは「認可のハブ」 ⚫ どのユーザー/グループが ⚫ どの許可セットで ⚫ どのアカウント or OU にアクセスするか ◼ ユーザーやグループに直接権限を持たせない ⚫ 「ユーザー/グループ → 許可セット → アカウント」の3段階で管理 ◼ 許可セットは「職務ロール × 環境」を意識して設計する ⚫ 例:開発者用/運用者用/参照専用 × 開発/検証/本番 ◼ プロジェクトごとに許可セットを乱立させず、組織共通のパターンにまとめておく 職務 環境 Role

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します IAM

    Identity Centerを最大限活用するために SSO方式 IAM Identity Centerだけではカバーしきれないこと・脆弱性を生むこともある。 ◼ 利用者が「自分の権限範囲を超えた操作」を申請ベースで一時的に実行したい ◼ 操作ごとに「承認フロー」を通したい ◼ プロジェクト単位・一時対応・緊急作業の権限を時間を指定して制御したい ◼ 最小権限を実現するために、許可セットだけではカバーしきれない範囲をSCPやRCPで何とか制御しようとするが、ポリ シーの数が増加して、思わぬ脆弱性を生む可能性がある 開発環境 Role 管理アカウント AWS IAM Identity Center AWS Organizations SCP RCP 検証環境 Role SCP RCP

  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します TEAMの活用

  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 概要

    TEAMの活用 Just-In-Time Access 的な考え方を採り入れた仕組み。 ◼ 一時的アクセス ◼ 承認付きアクセス ◼ 作業単位での権限付与 ◼ 作業終了と同時に自動剥奪 一般ユーザー 検証環境 Role TEAM AWS IAM Identity Center 管理ユーザー ①アクセス申請 ②アクセス許可

  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します リクエスト時に必要な情報

    TEAMの活用 ◼ Email(リクエスト者) ◼ Account( elevated access を行いたいAWSアカウント) ◼ Role(許可セットに紐づくElevated Role) ◼ Start time(権限の付与開始日時) ◼ Duration(権限を使用できる時間) ◼ Ticket no(チケット番号) ◼ Justification(ビジネス上の理由) 引用:https://aws-samples.github.io/iam-identity-center-team/docs/overview/architecture.html

  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 構成

    TEAMの活用 TEAMのコードはGitHubに公開されている。サーバレスなAWSサービスで構成されている。 引用:https://aws-samples.github.io/iam-identity-center-team/docs/overview/architecture.html

  18. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します まとめ

  19. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼

    Jump方式とSSO方式は「どちらが正解」ではない ◼ 重要なのは、「誰に」、「どんな権限を」、「どの範囲で」、「どの期間で」付与したいのかを整理すること ◼ 組織の規模・成熟度・制約条件に応じた設計が必要 ◼ SSOは長期運用・大規模環境ほど真価を発揮する ◼ TEAMは承認フローを組み込んだSSOを実現できる まとめ
  20. None