Closed9
AWS IAM Identity Center を使ってみる
- 有効にする
- 個人で使うが、Organizationsでの有効化もできるらしい
- 仕事でもAWS使うので勉強になると思い左を選択
- AWS Organizationsは作成していなかったが、自動的に作成された
- このアカウントがOrganizationsの管理アカウントとして設定された
- Organizationsのベストプラクティスも後ほど確認する
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_best-practices.html?icmpid=docs_orgs_console#bp_multi-acct_single-org
- セットアップガイドが出ているので、従ってみる
アイデンティティソース
- 名前の通り
- ドキュメント曰く、IdentityCenterか、ActiveDirectoryか、外部IdP(GWS,Okta等)
- 既にディレクトリがあるなら連携したほうが管理上よさそうだ
- 個人では特にディレクトリを持っていないのでデフォルトのIdentityCenterディレクトリを使う
ID認識セッション
- 今のところAmazon Q Developer Proのための機能らしい
アクセスコントロールの属性
- ディレクトリの設定値に基づいてユーザーの権限をコントロールできるっぽい?
許可
- IdentityCenterディレクトリのアカウントの権限
- AdministratorAccessとかBillingとか
アプリケーション
- IdentityCenter経由でログインさせるアプリケーションの設定?
- AWSマネージドでも、セルフマネージドでも可
- OAuth2.0かSAML2.0にて連携
MFA
- AuthenticatorだけでなくFIDO2等もつかえる。
- 開発者以外の一般ユーザーと同居させるときも便利そう
- とりあえずFIDO2で常時オンに設定しようかな
委任された管理者
- IAM Identity Center自体の管理者設定
- デフォルトは管理アカウント自身のみ
ユーザーを追加する
- メニュー「ユーザー」から
- プライマリ情報とユーザータイプが必須(ユーザータイプ無だと最後にエラーが出た)
- オプション情報も結構細かく設定できるが、IdentityCenterディレクトリのため?
- 外部IdPを利用したときの挙動が気になる
- グループはとりあえず作らず
- 作成後、登録メールアドレスにメール -> パスワード設定 -> MFA設定の流れ
- MFA はGoogle AuthenticatorとWindows Helloの二つ登録した
権限を追加する
- ユーザーを作成しただけなのでサインインしかできない
- セットアップ項目にあった許可を追加する
- とりあえずAdministratorAccessを割り当てる
- 業務利用とかならポリシーはちゃんと分ける
- マルチアカウント許可 > AWSアカウントより対象のAWSアカウントを指定してユーザーと権限を設定する
- SSOからいったんサインアウトし、再度サインインすることで使用するAWSアカウントが選択できるようになった
IdentityCenterのSSOを利用してAWSアカウントにサインインできるようになった。
これまではIAM Roleを使ってログインしていたが、管理が少々面倒な部分があった。
今後はコンソールログインのためのRoleは必要なさそうなので、影響を確認した上で削除することとする。
このスクラップは5ヶ月前にクローズされました