AWS
GSuite

G SuiteのアカウントをAWS コンソールへ連携させる

More than 1 year has passed since last update.


  • 実現したいこと


    • G Suiteで管理しているユーザアカウントをAWSコンソールへのログインユーザと連携したい




設定手順

大きくわけて以下の流れになるかと思います。

1. G Suite上でユーザ管理でカスタム属性の作成

2. G Suite上でAmazon Web Servicesクラウドアプリケーションを作成

3. AWS管理コンソールでIDプロバイダを作成

4. AWS管理コンソールで割当てるロールを作成

5. G Suite上でユーザにSAMLの設定情報を追加する



  1. ユーザのカスタム属性の作成


    1. Google Adminへログインします。

    2. ユーザを選択します。

    3. 画面右上にある[ユーザ属性を管理]をクリック
      ユーザ属性管理.png

    4. カスタムカテゴリを追加をクリック

    5. ここでは、AWSのSAMLへ渡す情報をカスタム属性で作成します。

    6. [カテゴリを追加]をクリックして、AWSアカウントロール属性を作成
      カスタムカテゴリ属性.png


    7. 以下の属性を作成します。

      属性名
      タイプ
      複数の値
      限定公開

      role
      テキスト
      はい
      はい

      SessionDuration
      整数
      いいえ
      はい


    8. [完了]をクリックします。





  2. 事前構成済みのAmazon Web ServicesクラウドアプリケーションでG SuiteをSAML ID プロバイダ(idp)として選択する


    1. Google Adminへ特権管理者としてログインします。

    2. [アプリ] > [SAML アプリ]をクリックします。

    3. 下にあるプラス(+)アイコンをクリックします。
      SAMLアプリの追加.png

    4. リストから[Amazon Web Services]の項目を選択します。

    5. ここでGoogle Idp情報のページから、X.509証明書とIDPメタデータをダウンロードしておきます。

    6. [基本的なアプリケーション情報]ウィンドウの[アプリケーション名]と[説明]の値を入力します。

    7. [次へ]をクリックします。

    8. [サービスプロバイダの詳細]の[エンティティID]、[ACSのURL]、[開始URL]欄に次を入力します。



    9. [署名付き応答]チェックボックスはオフのままにします。

    10. [名前のID]の既定値は、メールアドレスです。メールアドレスを使用します。

    11. [次へ]をクリックします。

    12. [新しいマッピングを追加]をクリックし、以下の属性値を設定します。



    13. [完了]をクリックします。




  3. AWS側の設定



    1. IDプロバイダの作成


      1. AWSコンソールへログインする。

      2. [IAM] > [プロバイダ]から[プロバイダの作成]をクリックします。

      3. プロバイダのタイプにSAMLを選択して、プロバイダ名を入力。

      4. メタデータドキュメントへ1.5.でダウンロードしたメタデータをアップロードして、次へ進みます。

      5. [作成]ボタンをクリックして作成します。

      6. プロバイダの概要にてプロバイダのARNを覚えておきます。

      idp_provider.png




    2. ロールの作成


      1. 必要な権限を持ったロールを作成します。

      2. ここでは、一旦AdministratorAccessの権限を持ったロールを作成します。

      3. ロールの概要からロールARNを覚えておきます。

      iam_role_arn.png






  4. G Suiteユーザの設定


    1. ユーザ一覧から、設定するユーザをクリックして詳細を表示します。

    2. [アカウント] > ユーザ属性を管理の[編集]をクリック。

    3. role欄に<ロールARN>,<プロバイダARN>を入力

    4. SessionDurationにタイムアウト(秒)を指定します。

    ユーザ設定.png

    6. [ユーザを更新]をクリックして設定を反映させます。




  5. G SuiteのAmazon Web Servicesアプリケーションの設定


    1. [アプリ] > [SAML アプリ]をクリックします。

    2. 有効にするアプリケーションの右側のメニューからオンにします。

    3. 画面右上のGoogleアプリから、[もっと見る]をクリックしてAWSアプリケーションをクリックして、AWSコンソールへログインできることを確認します。
      Appsアプリ.png



上記手順でAWSへ個別にIAMユーザを作成して管理する必要はなくなります。

権限ロールなどは要件にあわせて複数作成するといいかもしれません。

GSuiteのIdp情報のダウンロードが記載されているヘルプの場所と違い、しばらく探しました。。。

今後も、双方の管理コンソールが変わる可能性があるので適宜読み替えてください。