APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(アクセス権設定~動作確認)

目次

はじめに

こんにちは。クラウド事業部の早房です。
前回から日が空いてしまいましたが、Microsoft Entra ID ユーザーを用いてAWSアカウントにSSOする方法について紹介します。
今回は、SSO対象となるAWSアカウントへのアクセス権の設定、実際にSSOする様子までを記載します。
是非最後までお付き合いいただけますと幸いです。

どんなひとに読んで欲しい

  • Microsoft Entra ID ユーザーでAWSアカウントにSSOしたい人

関連記事

ここまでの手順は以下の記事をご参照ください。
techblog.ap-com.co.jp

techblog.ap-com.co.jp

techblog.ap-com.co.jp

techblog.ap-com.co.jp

techblog.ap-com.co.jp

このドキュメントの目的・概要

AWS IAM Identity Center に同期したユーザーが、どの許可セットを使用してAWSアカウントにアクセス可能かを制御する為の設定手順を紹介いたします。
もう少し噛み砕くと、ユーザーがSSO先のAWSアカウントで許可されるアクションの制御方法です。(読み取り専用、admin権限などなど・・・)

前提条件

  • 管理アカウントの管理者権限を持つユーザーでの作業が可能であること。
  • AWS IAM Identity Center が有効化されていること。

作業完了条件

  • AWS アカウントに IAM Identity Center ユーザーおよび許可セットの割り当てができること。
  • 割り当てたユーザーおよび許可セットで AWS アカウントへアクセスできること。

作業手順

1. アクセス権の設定

1-1. 管理アカウントの AWS マネジメントコンソールにログイン後、検索窓に「IAM Identity Center」と入力し、「IAM Identity Center」をクリックします。

1-2. 左ペインより「AWS アカウント」をクリックします。

1-3. SSOの対象となるアカウントにチェックを入れ、「ユーザーまたはグループを割り当て」をクリックします。

1-4. 前項で選択したアカウントへのアクセスを許可するユーザーまたはグループにチェックを入れ、「次へ」をクリックします。

1-5. アカウントへアクセスする際に使用する許可セットを選択し、「次へ」をクリックします。

マネージドの許可セットは以下をご参照ください。

docs.aws.amazon.com

ポリシーを組み合わせてカスタム許可セットを作成することも可能です。

docs.aws.amazon.com

1-6. アカウント名、ユーザー名(グループ名)、許可セットの選択が正しいことを確認し、「送信」をクリックします。

1-7. 割り当てに成功したことを確認し、割り当てを行ったアカウント名をクリックします。

1-8. ユーザー(グループ)と許可セットが割り当てられていることを確認します。

2. Microsoft Entra ID 上のユーザーを利用してのシングルサインオンでの AWS アカウントへのアクセス確認

2-1. IAM Identity Center の左ペインより「設定」内より、AWSアクセスポータルのURLをコピーします。

2-2. ブラウザでAWSアクセスポータルを開き、「1. アクセス権の設定」で割り当てたユーザー名を入力し「次へ」をクリックします。

2-3. パスワードを入力し、「サインイン」をクリックします。
※パスワードは Azure 側で既に設定されているパスワードを入力します。

2-4. 「AWS Account」をクリックし、アクセス権の設定を行ったアカウント名、許可セット名が表示されることを確認し、「Management console」をクリックします。

2-5. AWSマネジメントコンソールが表示され、許可セット名とユーザー名が正しく表示されることを確認します。

6. 参考情報

https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/get-started-sign-in-access-portal.html
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/set-up-single-sign-on-access-to-accounts.html

おわりに

Azure AD のユーザーで手軽にAWSアカウントを使用でき、なおかつアクセス権限の管理も簡単にできるため非常に便利だなと思いました。 ControlTowerのガードレール機能を使用することで、更に強固な環境を作成できます。(後日記事を書きます)

お知らせ

APCはAWS Advanced Tier Services(アドバンストティアサービスパートナー)認定を受けております。


その中で私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
www.ap-com.co.jp

https://www.ap-com.co.jp/service/utilize-aws/

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

本記事の投稿者: hybs_yuuuu

https://www.credly.com/users/hybs_yuuuu/badges