0
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@pro-tein

【IAM Identity Center】マルチアカウントにSSOを導入する

0
Posted at

はじめに

今回はマルチアカウント運用には欠かせない、SSO(シングルサインオン)を導入してみた記事になります。

前回の続きとなっているため、詳しくはこちらをご参照ください。

IAM Identity Centerとは

IAM Identity Center は、AWSが提供する統合認証(SSO: Single Sign-On)サービスです。
1度のログインだけで、複数のAWSアカウントにアクセスできるようになります。
複数アカウント運用に特化しているため、基本的にはOrganizationsと合わせて使用されます。
Organizations同様、IAM Identity Center自体は無料です。
※もともとはAWS Single Sign-On (AWS SSO)という名前でしたが、現在はIAM Identity Centerに統合されました。

特徴

従来のマルチアカウント運用にあった、以下のような問題を解決してくれます:

・アカウントごとにIAMユーザーを作ってサインインする必要がある
 →IAMユーザー不要(推奨構成)で、1ユーザーで複数アカウントにログイン可能

・アカウントごとに権限管理をするのが面倒
 →権限をまとめて管理可能

基本構成

Identity Centerでは以下の3つの構成で成り立っています。

1. ユーザー / グループ
Identity Center内で作成する以外に、外部のIdPと連携することも可能です。

2. 権限セット(Permission Set)
複数のIAMポリシーで構成されるテンプレートです。

3. アカウント割り当て
「誰が」「どのアカウントに」「どの権限で入れるか」を定義します

SSOは裏ではIAMロールを使用して特定の権限によるアクセスを可能にしています。
詳しくはこちらの記事をご参照ください。

使用する際は、以下のようなフローイメージになります。

ユーザー
   ↓
Identity Centerログイン
   ↓
複数のAWSアカウント一覧
   ↓
クリックでロール切り替えログイン

今回のゴール

1. ユーザーを作成する

管理アカウント(ルートアカウント)でIAM Identity Centerのサービス画面へ遷移し、画面右上の有効にするを押します。

SCR-20260410-ukrr.png

①AWS リージョンを選択します(例:アジアパシフィック (東京))
有効にするを押します

SCR-20260410-ulir.png

するとIAM Identity Centerのインスタンスが作成され、管理アカウント(ルートアカウント)で作成した組織(Organizations)と自動で紐づけてくれます。

①サイドメニューバーからユーザーを選択します
ユーザーを追加を押します

SCR-20260410-unkl.png

画面の指示に沿ってプライマリ情報を入力し、次へを押します。

SCR-20260410-uqgh.png

グループは後で作成するので、このまま次へを押します。

SCR-20260410-urfj.png

確認画面になるので、問題なければユーザーを追加を押します。

SCR-20260411-baqa.png

無事にユーザーが作成されました。

SCR-20260411-bbfi.png

登録したメールアドレスに招待メールが届くので、画面の指示に従って
・パスワード
・MFA認証
を設定すると、AWS access portalにログインできるようになります。

SCR-20260411-bdqc.png

2. グループを作成する

続いて「developer」グループを作成していきます。

再びIAM Identity Centerのサービス画面へ遷移し、
①サイドメニューバーからグループを選択します
グループを作成を押します

SCR-20260411-beyg.png

①「グループ名」を入力します
②グループに追加したいユーザーを選択します
グループを作成を押します

SCR-20260411-bfnb.png

無事にグループが作成されました。

SCR-20260411-bgdw.png

3. 許可セットを作成する

再びIAM Identity Centerのサービス画面へ遷移し、
①サイドメニューバーから許可セットを選択します
許可セットを作成を押します

SCR-20260411-bgzn.png

①「許可セットのタイプ」は事前定義された許可セット(AWS 管理ポリシー)を選択します
②開発者用にPowerUserAccess権限を選択します
次へを押します

SCR-20260411-bhna.png

許可セットの詳細を指定することができますが、今回はデフォルトのまま次へを押します

SCR-20260411-bisd.png

確認画面になるので、問題なければ作成を押します。

SCR-20260411-bjem.png

無事に許可セットが作成されました。

SCR-20260411-bjno.png

4. アカウントに割り当てる

「誰が」「どのアカウントに」「どの権限で入れるか」を定義するために、
「ユーザー or グループ」「アカウント」「許可セット」を紐づけます。

①サイドメニューバーからAWS アカウントを選択します
②③④まとめて操作したいAWSアカウントにチェックを入れます
ユーザーまたはグループを割り当てを押します

SCR-20260411-blfy.png

①選択したアカウントに紐づけたいユーザーまたはグループを選択します
→複数選択することも可能です。今回はユーザー1名しか含まれていませんが、グループを選択しました。
次へを押します

SCR-20260411-bqqi.png

①「選択したAWSアカウント」に「選択したユーザー/グループ(に含まれるすべてのユーザー)」が、どの権限でアクセスできるか(ロールを渡すか)を選択します。
次へを押します

SCR-20260411-bsrl.png

内容を確認したら送信を押します

SCR-20260411-btdd.png

以上です!

アクセスポータルから複数アカウントにログインしてみる

再度AWS access portalにアクセスすると、以下のように
複数アカウントにアクセスできるようになっています。

SCR-20260411-bvck.png

IAMサービス画面に移動したら、アクセスが拒否されたので、権限も問題なさそうです!

SCR-20260411-bvuo.png

0
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?