はじめに
本記事は、IAM Identity Centerの設定項目の1つ「リレー状態(Relay State)」を使うと、AWS access portalのログイン後のリダイレクトページをあるサービスのページにしたり、特定のリージョンを明示的に指定して開くことができるよ、という記事です。
なぜかログイン後、シドニーリージョン(ap-southeast-2)に飛んでしまう、というお悩みを持つ方に試していただきたい記事です。
AWS access portalとは?
AWS access portalとは、IAM Identity Center(旧称:AWS Single Sign-On)によって提供される、アカウントログインのフロント部分に相当するものです。この画面で権限付与されたアカウントを選んでログインします。
例えば上記では、このユーザーには3つのアカウントに対して、Administrator Accessという許可セットが当たっていて、Administrator Accessというリンクを押せば、その許可セット(権限)でログインできます、という立て付けになっています。
そもそもIAM Identity Centerとは?や、詳しい設定や機能などは、他に説明されている方がたくさんいるため割愛します
IAM Identity Centerの設定から、「リレー状態」を設定してみる
リレー状態(Relay State)とは?
リレー状態というのは許可セットに対して設定できる、ログイン後のリダイレクト先を決められるオプション項目です。(無設定の場合は最後のコンソールセッションのリージョンのマネジメントコンソールにリダイレクト)
設定例
例えば、下記のようにリレー状態を設定したとします。
そうすると、ログイン後「ap-northeast-3(大阪リージョン)」のマネジメントコンソールにリダイレクトする動作となります。
その他にも
と記載すると、ログイン後に東京リージョンのEC2のコンソール画面に飛ぶことができます。AWSのサービスであれば、なんでもよく例えば運用系の人であればCloudWatchに即飛びさせる、ということもあるかもしれません。
注意点
ちなみにリレー状態を変更すると、その度に
- 当該権限セットを使用する全AWSアカウントを再プロビジョニング
- 変更反映まで少し時間がかかる
ので注意が必要です。
結論、リレー状態を設定すると何が嬉しい?
リージョンを指定しておけるという観点では、
「初心者のユーザーがリージョンをミスすることを軽減する」
といったことも効果として考えられます。
また、サービスを指定できるという観点では、
例えばIAM Identity CenterでEC2しかアクセスできない許可ポリシーをアタッチしているグループやユーザーがあった場合を考えます。
そういった場合、そもそもマネジメントコンソールを開いたところで使用する権限もないので、ただ毎度EC2にワンクリックして進む以外に動線がない、ということもあるかと思います。
そういう時に、ログイン後、直接EC2のコンソールに遷移させてあげることができる、ちょっとした優しさがある、ということがわかりました。
本当にちょっとのことですが、ちりつもで便利な設定項目だなと思いました!