AWSのIAM Identity Centerとは
AWSのIAM Identity Center(旧AWS Single Sign-On)は、AWS環境へのアクセスを一元管理するためのサービスです。これにより、複数のユーザが異なるアクセス権限でAWSリソースにアクセスできるようになります。
以下のような人はIAM Identity Centerを使うと便利です。
- 複数のAWSアカウントを管理している
- 複数人のユーザがいて、AWSのアカウントを共有して使いたい
- ユーザごとに異なるアクセス権限を設定したい
- AWSのリソースへのアクセスを一元管理したい
用語のポイント
AWSアカウント : AWSの環境というイメージ。ユーザのアカウントとは別であることに注意
実際の構成例
今回は、以下のような構成を例に説明します。
-
本番環境と検証環境で2つのAWSアカウントを作成
-
IAM Identity Centerを使って、ユーザごとに異なるアクセス権限を設定
これによって、管理者グループにいるユーザはロールを切り替えて作業が可能ですし、グループに基づいてアクセス権限を一元管理できます。
作成方法
AWSのアカウントを複数作成する
今回は、本番環境と検証環境で2つのAWSアカウントを作成します。
複数アカウントを作成しない人はこのステップは不要です。
- AWS Management Consoleにログインします。
- サービス一覧から「AWS Organizations」を選択します。
- 「AWSアカウントを追加」ボタンをクリックします。
- 必要な情報を入力し、「作成」ボタンをクリックします。
IAM Identity Centerの設定
AWS Management Consoleにログインし、サービス一覧から「IAM Identity Center」を選択します。
許可セットの作成
まずは、許可セットを作成します。
- IAM Identity Centerのダッシュボードで「許可セット」タブを選択します。
- 「許可セットの作成」ボタンをクリックします。
- 必要な情報を入力し、「作成」ボタンをクリックします。
ユーザの追加
次に、ユーザを追加します。
- IAM Identity Centerのダッシュボードで「ユーザ」タブを選択します。
- 「ユーザの追加」ボタンをクリックします。
- 必要な情報を入力し、「作成」ボタンをクリックします。
グループの追加
次に、グループを追加します。
- IAM Identity Centerのダッシュボードで「グループ」タブを選択します。
- 「グループの追加」ボタンをクリックします。
- 対象となるユーザを選択し、「次へ」ボタンをクリックします。
- 必要な情報を入力し、「作成」ボタンをクリックします。
許可セットをグループに割り当てることで、グループに所属するユーザ全員に同じアクセス権限を付与できます。
これは、ユーザごとに個別にアクセス権限を設定する手間を省くために便利です。
アカウントへの割り当て
上記の3つにおいて、必要なものは作成されました。
最後に、ユーザグループをAWSアカウントに割り当てます。
- IAM Identity Centerのダッシュボードで「マルチアカウント許可」タブを選択します。
- 割り当てたいAWSアカウントを選択します。
- 「ユーザーまたはグループを割り当て」ボタンをクリックします。
- 対象となるユーザグループ(ユーザ)と許可セットを選択し、「次へ」ボタンをクリックします。
- 確認画面で内容を確認し、「割り当て」ボタンをクリックします。
これで、IAM Identity Centerの設定は完了です。
ログイン方法
ユーザを作成すると、IAM Identity CenterのログインURLが入ったメールが届きます。
そのメールに記載されたURLにアクセスし、ユーザ名とパスワードを入力してログインします。
すると、以下のような画面が表示されます。
ログインしたいアカウントの、ログインしたいロールをクリックすると、AWS Management Consoleにログインできます。
AWS CLIでの利用方法
ログインしたいアカウント/ロールの「アクセスキー」をクリックします。
すると、ポップアップが開き、さまざまな情報が表示されます。
推奨は、一番上に表示されているSSOを使う方法です。
SSOを使う方法については、以下の記事で説明しています。