APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(AWS アカウント作成編)

はじめに

こんにちは。クラウド事業部の早房です。
前回に引き続き、AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!という内容で記事を書きます。
本記事では、Control Tower の機能である Account Factory を使用して AWS アカウントを作成します。

これまでの記事は以下をご参照ください。

  • ランディングゾーンセットアップ

AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(ランディングゾーンセットアップ編) - APC 技術ブログ

  • ユーザー同期編

AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(ユーザー同期編①) - APC 技術ブログ

AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(ユーザー同期編②) - APC 技術ブログ

AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(ユーザー同期編③) - APC 技術ブログ

1. 目次

  1. 目次
  2. 全体の作業フローと本記事での作業箇所の確認
  3. 前提条件
  4. 作業完了条件
  5. 作業手順
  6. 参考情報

2. 全体の作業フローと本記事での作業箇所の確認

①AWS Control Tower のランディングゾーンセットアップ (完了) ②Microsoft Entra ID → AWS へのユーザー同期 (完了) ③Account Factory での AWS アカウント作成 (本記事) ④作成したAWSアカウントへのアクセス権の設定

3. 前提条件

  • AWS IAM Identity Center - Microsoft Entra ID ユーザー同期_3 が完了していること。
  • 作成するアカウントのメールアドレスが払い出されていること。
  • ランディングゾーンをセットアップしたユーザーでの作業が可能であること。

    別のユーザーでの作業を実施する場合は以下「3-1.Service Catalog ポートフォリオの権限付与」の手順を実施し、Service Catalog ポートフォリオの権限を付与してください。

3.1 Service Catalog ポートフォリオの権限付与 (必要な場合)

  1. 管理アカウントの AWS マネジメントコンソールにログイン後、検索窓に「service catalog」と入力し、Service catalog をクリックします。

  2. ローカルポートフォリオ内の「AWS Control Tower Account Factory Portfolio」をクリックします。

  3. アクセスタブ内の「アクセス権の付与」をクリックします。

  4. IAM Principal を選択、ユーザータブ内の作業を行うユーザーにチェックを入れ、「アクセス権を付与」をクリックします。

  5. アクセス権の付与が正常に完了したことを確認します。

4. 作業完了条件

Account Factory 上で OU およびアカウントの作成ができること。

5. 作業手順

5-1. OU の作成

  1. 管理アカウントの AWS マネジメントコンソールにログイン後、検索窓に「control tower」と入力し、Control Tower をクリックします。

  2. 左ペインより「組織」をクリックします。

  3. 「リソースを作成」から「組織単位を作成」をクリックします。

  4. 任意の OU 名、親 OU を選択し「追加」をクリックします。親 OU には ルート OU もしくは 既に Control Tower に登録済みの OU を指定することが可能です。

  5. OU の作成と AWS Control Tower への OU の登録が開始されます。

  6. OU の作成と登録が完了し、状態が「登録済み」となっていることを確認します。

5-2. アカウントの作成  

  1. 管理アカウントの AWS マネジメントコンソールにログイン後、検索窓に「control tower」と入力し、AWS Control Tower のコンソール画面を表示します。

  2. 左ペインより「Account Factory」をクリックします。

  3. 「アカウント作成」をクリックします。

  4. 以下の項目を入力し、「アカウントの作成」をクリックします。
    ・アカウントの詳細
     ・アカウント E メール : 新規アカウント用の E メールアドレス
     ・表示名 : アカウントの名前・表示名
    ・アクセス設定
     ・IAM Identity Center ユーザーの E メール : 管理アカウントの E メールアドレス
     ・IAM Identity Center のユーザー名 (名) : Admin
     ・IAM Identity Center のユーザー名 (姓) : AWS Control Tower
    ・組織単位 : アカウントを所属させる OU

  5. 作成リクエストが正常に送信されることを確認し、AWS Service Catalog コンソールを開きます。

  6. アカウントのプロビジョニングが成功することを確認します。(所要時間 : 約 15 分)

  7. AWS Control Tower コンソールの組織内より、プロビジョニングしたアカウントが登録済みであることを確認します。

6. 参考情報

まとめ

今回は Account Factory で AWS アカウント を作成する様子をご紹介しました。
次回は作成した AWS アカウントへシングルサインオンするためのアクセス権限セットの作成などの設定についてご紹介します。

おわりに

弊社はAWSアドバンスドティアサービスパートナー認定を受けております。
また以下のようにAWSの活用を支援するサービスも行っているので、何かご相談したいことがあればお気軽にご連絡ください。

www.ap-com.co.jp

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

本記事の投稿者: hybs_yuuuu

https://www.credly.com/users/hybs_yuuuu/badges