AWS ECR(Elastic Container Registry)のプライベートリポジトリにDockerイメージをプッシュするまでの手順を記録します。手順はAWS CLIのインストール、AWSアカウントの作成、IAM Identity Centerでユーザーの追加・設定、AWS SSOの設定、Amazon ECRでDockerイメージのプッシュに分けます。無料枠での利用を想定しています。
環境
- CentOS7
- Dockerはインストール済み
手順
1. AWS CLIのインストール
2. AWSアカウントの作成
3. IAM Identity Centerでユーザーの追加・設定(本記事)
4. AWS SSOの設定
5. Amazon ECRでDockerイメージのプッシュ
IAM Identity Centerを「有効にする」
IAM Identity Centerとは
従業員ユーザーを作成または接続し、すべてのユーザーやアプリケーションにわたるアクセスを一元管理できます。 AWS アカウント 「マルチアカウント権限」を使用してワークフォースユーザーに AWS アカウントへのアクセス権を割り当てることができます。アプリケーション割り当てを使用して、 AWS 管理対象アプリケーションと顧客管理型アプリケーションへのアクセス権をユーザーに割り当てることができます。
- コンソール画面上の検索バーに「IAM Identity Center」と入力し、検索結果をクリックしてIAM Identity Centerのページに移動する
- 同ページ内の「有効にする」をクリックする
- 「AWS Organizationsで有効にする」を選択し、「続行」をクリックする
グループの作成
- ナビゲーションペインの「グループ」をクリックする
- 任意のグループ名を入力し、「グループを作成」をクリックする
ユーザーの追加
- ナビゲーションペインの「ユーザー」をクリックする
- 「ユーザーを追加」をクリックする
- ステップ1(ユーザーの詳細を指定)に進み、「プライマリ情報」(ユーザー名、パスワードの受け取り方法※本記事はEメールでの受け取りを選択、Eメールアドレス、名、姓、表示名)を入力し、「次へ」をクリックする
- ステップ2(ユーザーをグループに追加)に進み、先ほど作成したグループを選択し、「次へ」をクリックする
- ステップ3(ユーザーの確認と追加)に進み、内容を確認の上「ユーザーを追加」をクリックする
許可セットの作成
許可セットとは
IAM ポリシーを 1 つ以上、複数の AWS アカウント にデプロイすることができるテンプレートのことです。 許可セットを AWS アカウント に割り当てると、IAM アイデンティティセンターが IAM ロールを作成し、IAM ポリシーをそのロールにアタッチします。
IAMとは
Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのウェブサービスです。IAM を使用すると、ユーザーがアクセスできる AWS のリソースを制御するアクセス許可を集中管理できます。IAM を使用して、誰を認証 (サインイン) し、誰にリソースの使用を認可する (アクセス許可を付与する) かを制御します。
- ナビゲーションペインから「マルチアカウント許可」配下の「許可セット」をクリックする
- 下記ページの「許可セットを作成」をクリックする
- ステップ1(許可セットタイプを選択)に進み、「事前定義された許可セットのポリシー」から「PowerUserAccess」を選択し、「次へ」をクリックする
- PowerUserAccess:AWS サービスとリソースへのフルアクセス権限があるが、ユーザーとグループの管理はできない。次に設定するSSOを使用するために、この許可セットを選択する
- ステップ2(許可セットの詳細を指定)に進み、内容を確認し、「次へ」をクリックする
- ステップ3(確認して作成)に進み、内容を確認し、「次へ」をクリックする
許可セットの割り当て
- ナビゲーションペインの「マルチアカウント許可」配下の「AWSアカウント」をクリックする
- 「管理アカウント」を選択し、「ユーザーまたはグループを割り当て」をクリックする
- ステップ1(ユーザーとグループの選択)に進み、許可セットを割り当てるグループを選択し、「次へ」をクリックする
- ステップ2(許可セットを選択)にステップ1で選択したグループに割り当てる許可セットを選択し、「次へ」をクリックする
- ステップ3(確認して送信)に進み、内容を確認し、「送信」をクリックする
ユーザーの初期設定
パスワードの作成
-
指定したEメールアドレスにアクセスし、件名が「Invitation to join AWS IAM Identity Center」のメールを開く
-
メール本文中の「Accept Invitation」をクリックする
-
下記ページが開いたら、「新規パスワード」を入力し、「新しいパスワードを設定」をクリックする
MFA(多要素認証)デバイスの登録
- 続く画面で使用するMFAデバイスを選択し、画面の指示に従い設定を行う
AWSアクセスポータルにログイン
AWSアクセスポータルとは
Office 365、Concur、Salesforce など、すべての AWS アカウント および最も一般的に使用されるクラウドアプリケーションへのシングルサインオンアクセスをユーザー (エンドユーザー) に提供します。ポータル内から、 AWS アカウント またはアプリケーションのアイコンを選択するだけで、複数のアプリケーションをすばやく起動できます。 AWS アクセスポータルにアプリケーションアイコンが存在するということは、会社の管理者がそれらの AWS アカウント またはアプリケーションへのアクセスを許可していることを意味します。また、追加のサインインプロンプトなしで、 AWS アクセスポータルからこれらのアカウントまたはアプリケーションすべてにアクセスできることも意味します。
- パスワード・MFAデバイスの登録が完了すると、AWSアクセスポータルのトップ画面が表示される
- 割り当てた許可セットが「AWS accounts」の下に表示されれば設定が完了していることが確認できる
参考
-
IAM Identity Centerについて
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/what-is.html -
IAM Identity Centerの設定について
https://docs.aws.amazon.com/cli/latest/userguide/getting-started-prereqs.html
https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html -
IAMについて
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html -
AWS アクセスポータルについて
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/using-the-portal.html