0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

AWS AnalyticsAdvent Calendar 2023

Day 15

Amazon DataZone に IAM Identity Center で SSO ログインを設定してみる

Last updated at Posted at 2023-12-15

先日 GA となった Amazon DataZone ですが、本番運用していく上で、IAM Identity Center でユーザ管理してデータポータルにログインさせるのが推奨のようだったので、ログイン設定をやってみました。

Amazon DataZoneとは

Amazon DataZoneは、AWS、オンプレミス、サードパーティのソースに保存されたデータをカタログ化、検索、共有、管理するためのデータ管理サービスです。

Amazon DataZoneを使用して、組織間のデータアクセスを管理できます。

データのパブリッシュとサブスクライブのワークフローを提供しているので、これにより、データプロデューサーはアセットを、ドメイン内にデータカタログとして公開できます。
そして、データコンシューマーは、サブスクライプフローを通したアクセス制御メカニズムによって、カタログにあるデータにアクセスできるようになります。
Amazon DataZone では、さまざまなデータへのアクセス制御を一元化できるため、誰がどのデータをどのような目的で使用しているかを容易に確認することができます。

あともう1つ、Amazon DataZoneが支援するユースケースとしてあるのが、ビジネスカタログの整備です。

Amazon DataZoneでビジネス用語集を用意することができまして、提供されている検索ポータルから、データを組織内の共通言語によって検索できます。
そして見つけたそのデータカタログがどういったデータなのかを、直感的に理解し、より活用しやすい環境を、データ基盤として作れるというのも、このAmazon DataZoneの特徴にあります。


ではさっそく Amazon DataZone で IAM Identity Center の設定を試していきたいと思います。

1. IAM Identity Center で SSO ユーザとグループを作成する。

まず、大前提となる IAM Identity Center での SSO ユーザを作成します。

Screenshot 2023-12-15 at 13.52.10.png

Screenshot 2023-12-15 at 13.54.36.png

Screenshot 2023-12-15 at 13.55.07.png

設定したメールアドレスに、検証メールが届いているので、認証とパスワードの再設定しておきます。
Screenshot 2023-12-15 at 14.03.26.png

同様にもう1つグループに属させるユーザーを作成します。

Screenshot 2023-12-15 at 13.56.46.png


次にグループを作っていきます。

Screenshot 2023-12-15 at 13.45.57.png

さきほど作った2つのユーザーのうち、グループに属する用のユーザのみチェックして、グループを作成します。

Screenshot 2023-12-15 at 13.58.56.png

Screenshot 2023-12-15 at 14.07.03.png


2. Amazon DataZone でドメインを作成します。

ドメインは、独自のビジネス分野の境界で、DataZoneの一番大きな単位です。
いわゆる企業における、会社自体であったり、本部とかの大きな組織の枠のようなイメージをもっていただくと良いと思います。

Amazon DataZone のコンソールに移り、ドメインを作っていきます。
注意としては、さきほどの IAM Identity Center と同じリージョンである必要があります。

Screenshot 2023-12-15 at 13.25.16.png

ドメインがつくられると、同時にデータポータルというものが作成されます。
Web ベースのデータホームページのようなものでして、基本的に、Amazon DataZone の ユーザーは、このデータボータル画面を通して、データを公開したり、検索したりといった操作をすることとなります。

Screenshot 2023-12-15 at 13.43.59.png

上記のように、ドメインを作成したタイミングでは IAM Identity Center は無効の状態です。


3. 作成したドメインで、IAM Identity Center を有効化します。

今回は割り当ては不要として進めます。

Screenshot 2023-12-15 at 14.32.14.png

有効に変わりました。

Screenshot 2023-12-15 at 14.33.54.png

この時点ではまだ、ユーザ管理では表示されません。
Screenshot 2023-12-15 at 14.40.37.png


4. IAM Identity Center のログインポータルからSSOログインする。

IAM Identity Center の管理コンソールに移り、設定メニューの下にある、アクセスポータルにアクセスし、グループに属していない SSO ユーザでログインしてみます。

Screenshot 2023-12-15 at 14.37.19.png

Screenshot 2023-12-15 at 14.42.07.png

Amazon DataZone へのリンクが表示されていますので、クリックします。

Screenshot 2023-12-15 at 14.43.06.png

Amazon DataZone のポータル認証画面に遷移するので、「SIGN IN WITH SSO」ボタンをクリックします。

Screenshot 2023-12-15 at 14.44.01.png

Amazon DataZone のポータル画面にログインできました。
Screenshot 2023-12-15 at 14.45.20.png

Amazon DataZone の管理コンソールでもSSOユーザとして表示されていることを確認できます。
Screenshot 2023-12-15 at 14.46.12.png


ちなみに

Amazon DataZone ポータルで、プロジェクトを作成して、ユーザー追加を試みたところ、そこで、グループ追加もできました。
Screenshot 2023-12-15 at 14.51.42.png

Screenshot 2023-12-15 at 14.54.53.png

すると、Amazon DataZone の管理コンソールのユーザ管理で、IAM Identity Center で作成した グループが表示され、「割り当て済み」となっておりました。
Screenshot 2023-12-15 at 14.52.28.png

ちなみに (パート2)

IAM Identity Center グループをプロジェクトに追加したうえで、グループに所属する SSO ユーザーでログインしたところ、追加したプロジェクトに所属した状態でのログインとなりました。

Screenshot 2023-12-15 at 14.57.30.png


自分での検証の備忘録メモとして書いたため、読みにくくてすみません。
今回、Amzon DataZone で IAM Identity Center を有効化する際に、「割り当て不要」としましたが、次は「割り当てが必要」とした場合の挙動を、検証してみたいと思ってます。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?