SSO

AWS IAMプロバイダとSSOを設定してみる

midnight480
想定読者 AWSのログインで利用するIdPをまとめたい人 IAM プロバイダを設定したい人 Google Workspace 設定した結果 もっと早く設定しけおけばよかったと自身への反省の意を込めてまとめます。 最近個人のAWSのログインが億劫になってきたので、 GoogleアカウントのSAML認証で ・一番良く使う個別のアカウントで設定(左) ・AWS-SSOで全体管理の設定(右) を設定。 pic.twitter.com/r1xCRGwa8D — Tetsuya Shibao (@midnight480) June 20, 2021 設定ポイント Google Adminにログインできるユーザであること https://admin.google.com/ac/home?hl=ja SAMLアプリの検索 (IDプロバイダの場合)アプリの検索 (IDプロバイダの場合)AWS用のテンプレート (IDプロバイダの場合)属性のマッピング (IDプロバイダの場合)ユーザ設定 (AWS-SSOの場合)カスタムSAMLアプリの追加 (AWS-SSOの場合)属性のマッピング 参考記事 https://aws.amazon.com/jp/blogs/security/how-to-use-g-suite-as-external-identity-provider-aws-sso/ https://aws.amazon.com/jp/blogs/startup/techblog-saml-gsuite/

個人アカウントにAWS SSOを導入して得たこと

midnight480
想定読者 AWSのログインで利用するIdPをまとめたい人 IAM プロバイダを設定したい人 Google Workspace 前回までの設定 AWS IAMプロバイダとSSOを設定してみるにて、 個人のAWSアカウントでAWSのIAMにおけるIDプロバイダとAWS SSOを設定しました。 AWS SSOを設定したことで得られた体験 ログイン方法の簡素化 これまではIAMユーザをメインでしたのでMFAを設定するなど手間でした。 セキュリティを強固にすると利便性のトレードオフな部分ですね。 これがGoogleの右上に表示されるトグルから、 ログインに利用するGoogleアカウントを選択するだけで、 自身の管理するAWSアカウントにアクセスできる体験となりました。 複数のAWSアカウントを採用している背景 色々なJAWS-UGイベントや個人の検証などでInoviceを分別したい AWS公式メールマガジンにて申請すると頂ける$25クーポンについて、 だいぶ認知されてきたようですが、私もその恩恵を享受している一人です。 https://pages.awscloud.com/dev-magazine-mail-member.html AWSクレジットについては共有が可能であるため、 https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/useconsolidatedbilling-credits.html#credits-for-orgs 単一および複数のアカウントへの AWS クレジットの適用 CUR(Cost-and-Usage Report)の検証も含めて分析のために分割しました。 https://www.wellarchitectedlabs.com/cost/200_labs/200_4_cost_and_usage_analysis/ Invoiceを見たことがある人にはわかりますが、一括請求の請求は非常に分かりづらいです。 また、CostExplorerも、GUIだとグルーピングが1項目しかできないところが、 AWS CLIだと2項目グルーピングできたりとちょっと足りない部分があります。 そういった部分をQuickSightで見えるようになるといいなというぼんやりとおぼろげながらに構想が浮かんできました。 AWS CLIのパラメータ 少しなれてくると必要になってくるのがAWS CLIのアクセスキー、シークレットアクセスキーです。 こちらに関しても、AWS SSOの画面であれば予め用意されています。 macOS/Linux/Windows/PowerShellと大抵の環境で設定するテンプレートで表示してくれます。 何も全ていいことばかりではない アカウント作成しすぎない 組織で許容されるアカウントのデフォルトの最大数: 4 もちろん上限緩和申請を行うことで拡張は可能です。 そして、Oraganizations画面で普段見ないであろう、 「「{count} 」個のアカウントを招待できませんでした。 You have exceeded the allowed number of AWS accounts.」 という表示も見ることが可能ですが、後述することに関連するので上限緩和する際はよく検討してください。 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_reference_limits.html https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_accounts_create.html アカウントを作成すると、AWS Organizations最初に、長い (64 文字) の複雑、ランダムに生成されたパスワードを root ユーザーに割り当てます。 この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。