Closed9

AWS IAM Identity Center を使ってみる

Sut103Sut103

  • 個人で使うが、Organizationsでの有効化もできるらしい
  • 仕事でもAWS使うので勉強になると思い左を選択
Sut103Sut103

  • セットアップガイドが出ているので、従ってみる
Sut103Sut103

アイデンティティソース

  • 名前の通り
  • ドキュメント曰く、IdentityCenterか、ActiveDirectoryか、外部IdP(GWS,Okta等)
  • 既にディレクトリがあるなら連携したほうが管理上よさそうだ
  • 個人では特にディレクトリを持っていないのでデフォルトのIdentityCenterディレクトリを使う

ID認識セッション

  • 今のところAmazon Q Developer Proのための機能らしい

アクセスコントロールの属性

  • ディレクトリの設定値に基づいてユーザーの権限をコントロールできるっぽい?

許可

  • IdentityCenterディレクトリのアカウントの権限
  • AdministratorAccessとかBillingとか

アプリケーション

  • IdentityCenter経由でログインさせるアプリケーションの設定?
  • AWSマネージドでも、セルフマネージドでも可
  • OAuth2.0かSAML2.0にて連携

MFA

  • AuthenticatorだけでなくFIDO2等もつかえる。
  • 開発者以外の一般ユーザーと同居させるときも便利そう
  • とりあえずFIDO2で常時オンに設定しようかな

委任された管理者

  • IAM Identity Center自体の管理者設定
  • デフォルトは管理アカウント自身のみ
Sut103Sut103

ユーザーを追加する

  • メニュー「ユーザー」から
  • プライマリ情報とユーザータイプが必須(ユーザータイプ無だと最後にエラーが出た)
  • オプション情報も結構細かく設定できるが、IdentityCenterディレクトリのため?
  • 外部IdPを利用したときの挙動が気になる
  • グループはとりあえず作らず
  • 作成後、登録メールアドレスにメール -> パスワード設定 -> MFA設定の流れ
  • MFA はGoogle AuthenticatorとWindows Helloの二つ登録した
Sut103Sut103

権限を追加する

  • ユーザーを作成しただけなのでサインインしかできない
  • セットアップ項目にあった許可を追加する
  • とりあえずAdministratorAccessを割り当てる
    • 業務利用とかならポリシーはちゃんと分ける
  • マルチアカウント許可 > AWSアカウントより対象のAWSアカウントを指定してユーザーと権限を設定する
  • SSOからいったんサインアウトし、再度サインインすることで使用するAWSアカウントが選択できるようになった
Sut103Sut103

IdentityCenterのSSOを利用してAWSアカウントにサインインできるようになった。
これまではIAM Roleを使ってログインしていたが、管理が少々面倒な部分があった。
今後はコンソールログインのためのRoleは必要なさそうなので、影響を確認した上で削除することとする。

このスクラップは5ヶ月前にクローズされました