LoginSignup
10

More than 5 years have passed since last update.

G SuiteのアカウントをAWS コンソールへ連携させる

Posted at
  • 実現したいこと
    • G Suiteで管理しているユーザアカウントをAWSコンソールへのログインユーザと連携したい

設定手順

大きくわけて以下の流れになるかと思います。
1. G Suite上でユーザ管理でカスタム属性の作成
2. G Suite上でAmazon Web Servicesクラウドアプリケーションを作成
3. AWS管理コンソールでIDプロバイダを作成
4. AWS管理コンソールで割当てるロールを作成
5. G Suite上でユーザにSAMLの設定情報を追加する

  1. ユーザのカスタム属性の作成

    1. Google Adminへログインします。
    2. ユーザを選択します。
    3. 画面右上にある[ユーザ属性を管理]をクリック ユーザ属性管理.png
    4. カスタムカテゴリを追加をクリック
    5. ここでは、AWSのSAMLへ渡す情報をカスタム属性で作成します。
    6. [カテゴリを追加]をクリックして、AWSアカウントロール属性を作成 カスタムカテゴリ属性.png
    7. 以下の属性を作成します。

      属性名 タイプ 複数の値 限定公開
      role テキスト はい はい
      SessionDuration 整数 いいえ はい
    8. [完了]をクリックします。

  2. 事前構成済みのAmazon Web ServicesクラウドアプリケーションでG SuiteをSAML ID プロバイダ(idp)として選択する

    1. Google Adminへ特権管理者としてログインします。
    2. [アプリ] > [SAML アプリ]をクリックします。
    3. 下にあるプラス(+)アイコンをクリックします。 SAMLアプリの追加.png
    4. リストから[Amazon Web Services]の項目を選択します。
    5. ここでGoogle Idp情報のページから、X.509証明書とIDPメタデータをダウンロードしておきます。
    6. [基本的なアプリケーション情報]ウィンドウの[アプリケーション名]と[説明]の値を入力します。
    7. [次へ]をクリックします。
    8. [サービスプロバイダの詳細]の[エンティティID]、[ACSのURL]、[開始URL]欄に次を入力します。
    9. [署名付き応答]チェックボックスはオフのままにします。
    10. [名前のID]の既定値は、メールアドレスです。メールアドレスを使用します。
    11. [次へ]をクリックします。
    12. [新しいマッピングを追加]をクリックし、以下の属性値を設定します。
    13. [完了]をクリックします。
  3. AWS側の設定

    1. IDプロバイダの作成

      1. AWSコンソールへログインする。
      2. [IAM] > [プロバイダ]から[プロバイダの作成]をクリックします。
      3. プロバイダのタイプにSAMLを選択して、プロバイダ名を入力。
      4. メタデータドキュメントへ1.5.でダウンロードしたメタデータをアップロードして、次へ進みます。
      5. [作成]ボタンをクリックして作成します。
      6. プロバイダの概要にてプロバイダのARNを覚えておきます。

      idp_provider.png

    2. ロールの作成

      1. 必要な権限を持ったロールを作成します。
      2. ここでは、一旦AdministratorAccessの権限を持ったロールを作成します。
      3. ロールの概要からロールARNを覚えておきます。

      iam_role_arn.png

  4. G Suiteユーザの設定

    1. ユーザ一覧から、設定するユーザをクリックして詳細を表示します。
    2. [アカウント] > ユーザ属性を管理の[編集]をクリック。
    3. role欄に<ロールARN>,<プロバイダARN>を入力
    4. SessionDurationにタイムアウト(秒)を指定します。

    ユーザ設定.png
    6. [ユーザを更新]をクリックして設定を反映させます。

  5. G SuiteのAmazon Web Servicesアプリケーションの設定

    1. [アプリ] > [SAML アプリ]をクリックします。
    2. 有効にするアプリケーションの右側のメニューからオンにします。
    3. 画面右上のGoogleアプリから、[もっと見る]をクリックしてAWSアプリケーションをクリックして、AWSコンソールへログインできることを確認します。 Appsアプリ.png

上記手順でAWSへ個別にIAMユーザを作成して管理する必要はなくなります。
権限ロールなどは要件にあわせて複数作成するといいかもしれません。
GSuiteのIdp情報のダウンロードが記載されているヘルプの場所と違い、しばらく探しました。。。
今後も、双方の管理コンソールが変わる可能性があるので適宜読み替えてください。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
10