4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

ControlTower③SSOの確認・アカウントの追加・削除

Last updated at Posted at 2022-01-25

前回はControlTower有効化後のコンソールの確認をしました。
投稿から間が空いてしまいましたが、今回はControlTowerでのアカウントの追加と削除の方法について書いていこうと思います。

ControlTower関連記事リンクまとめ

・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②ControlTower内の状況確認
・ControlTower③SSOの確認・アカウントの追加・削除←今ここ
・ControlTower④ガードレールの設定
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約

SSOの状態確認

ControlTowerを有効化すると、合わせてSSOが作成されます。
ユーザーポータルIDに表示されているURLからControlTower配下のアカウントにログインできます。
image.png

アクセス権限セット・グループも自動で作成されます。ControlTowerにより作成されるグループ・権限セットの一覧はユーザーガイドに記載があります。
初期状態だとControlTowerの管理者しかSSOを使えません。SSOにユーザーを追加し、ControlTowerのグループに所属させてあげましょう。

{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

SSOへのユーザー追加は、SSOの「ユーザー」から行えます。
SSOのトップページからユーザーに移動し、「ユーザーの追加」を押下し設定を行います。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

ユーザーの設定画面です。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

ユーザーガイドを参照し、ユーザーに適したグループを選択し、ユーザーを追加しましょう。

{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

SSOの設定を行い、SSOのユーザーポータルにログインするとこんな感じで表示されます。
※ExternalAccountは後から追加した設定なので本設定とは無関係です。

image.png

アカウントの追加設定

OUの状態確認

現時点では、RootOU・SecurityOUと一緒にControlTower構築時に追加で設定したSandboxOUが存在する状態です。試しにこのSecurityOUにTestアカウントを追加していきます。
image.png

AccountFactoryでアカウントを追加する

ControlTowerのトップページからAccountFactoryに移動します。
右上に表示されている「アカウントの登録」ボタンからアカウントの登録画面に移動します。
image.png

アカウントの登録画面です。
必要な情報を入力し「アカウントの登録」を押下します。
image.png
image.png

AccountFactoryのトップページに戻ります。
アカウントの登録操作が完了すると、上部に「登録リクエストが送信されました」と表示されます。アカウントの登録はServiceCatalogで行われます。上部に表示されている「ServiceCatalog」のリンクから該当の製品を確認できます。
image.png

しばらく待ってからアカウントの管理画面を確認すると、設定した「Test」という表示名でアカウントが表示されます。アカウントの登録操作をした直後は「Test」アカウントの所属するOUは「Root」となっていましたが、登録リクエストが完了すると無事「Sandbox」OU所属の表示に移り変わりました。
image.png

OUの再登録

AccountFactoryでアカウントを追加したら、OUの再登録も合わせて行ってあげましょう。
「OUの再登録」は、アカウントを追加した場合以外にもControlTowerのリージョンを追加した場合などに行います。
ControlTowerのトップページから「組織単位」に移動し、「OUを再登録」ボタンを押下します。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

OU再登録の確認画面が表示されます。
「OUを再登録」ボタンを押下します。
image.png

OUの再登録が始まります。表示では60分ほどかかると出ていますが、体感では30分くらいで完了しました。
image.png

SSOの権限設定

アカウントを追加したので、SSOの権限追加もしてあげる必要があります。
SSOのトップページから「AWSアカウント」に移動すると、先ほど追加した「Test」のアカウントが表示されています。

image.png

アカウント名のリンクから詳細画面に移動します。
「ユーザーの割り当て」を押下します。
image.png

ユーザーの割り当て画面が表示されます。
image.png
ユーザー・グループを割り当て、権限セットを追加してあげます。
image.png
設定が完了するのに数分かかります。
image.png

設定が完了すると、SSOのログインページから追加したアカウントにログインできるようになります。
image.png

新規作成アカウントのrootユーザーのパスワードを取得する

AccountFactoryでアカウントを作成すると、rootユーザーのログインパスワードが不明な状態になります。そのため、アカウント作成後にパスワードの再設定を行い、rootユーザーのパスワードを取得しておきましょう。

パスワードの再設定は、AWSアカウントのルートユーザーログイン画面から行います。
メールアドレスを入力後、「パスワードをお忘れですか?」のリンクからパスワードの再設定を行いましょう。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

また、必須のガードレールにて「ルートユーザーの MFA が有効になっているかどうかを検出する」というルールが設定されるので、ルートでログインしたらMFAの設定も追加しておきましょう。

アカウントをControlTowerから削除する

また、アカウントをControlTowerの管理対象から外す場合はServiceCatalogから設定を行います。
ServiceCatalogのトップページから、「プロビジョニングされた製品」に移動します。

image.png

名前のリンクから詳細画面に移動し、「アクション」>「終了」でプロビジョニングされたアカウントを終了します。
image.png

ServiceCatalog上からプロビジョニングされたアカウントを終了することで、アカウントはControlTowerの管理から外れます。ただし、アカウント自体は残っているので、ルートユーザーでログインしアカウントの削除を行う必要がある点に注意してください。

image.png

ControlTowerによりSSOや権限セットが追加されているので、初回構築時のSSO設定やアカウントの新規作成時の作業が少し簡略化できますね。

アカウントの役割整理

Cont

次回はControlTowerのガードレール追加について書いていこうと思います。
ここまでお読みくださりありがとうございました。

4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?