AWS IAM Identity Center を使ってみる

https://ap-northeast-1.console.aws.amazon.com/singlesignon/home

• 有効にする

• 個人で使うが、Organizationsでの有効化もできるらしい
• 仕事でもAWS使うので勉強になると思い左を選択

• AWS Organizationsは作成していなかったが、自動的に作成された
• このアカウントがOrganizationsの管理アカウントとして設定された
• Organizationsのベストプラクティスも後ほど確認する
  https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_best-practices.html?icmpid=docs_orgs_console#bp_multi-acct_single-org

• セットアップガイドが出ているので、従ってみる

アイデンティティソース

• 名前の通り
• ドキュメント曰く、IdentityCenterか、ActiveDirectoryか、外部IdP(GWS,Okta等)
• 既にディレクトリがあるなら連携したほうが管理上よさそうだ
• 個人では特にディレクトリを持っていないのでデフォルトのIdentityCenterディレクトリを使う

ID認識セッション

• 今のところAmazon Q Developer Proのための機能らしい

アクセスコントロールの属性

• ディレクトリの設定値に基づいてユーザーの権限をコントロールできるっぽい？

許可

• IdentityCenterディレクトリのアカウントの権限
• AdministratorAccessとかBillingとか

アプリケーション

• IdentityCenter経由でログインさせるアプリケーションの設定？
• AWSマネージドでも、セルフマネージドでも可
• OAuth2.0かSAML2.0にて連携

MFA

• AuthenticatorだけでなくFIDO2等もつかえる。
• 開発者以外の一般ユーザーと同居させるときも便利そう
• とりあえずFIDO2で常時オンに設定しようかな

委任された管理者

• IAM Identity Center自体の管理者設定
• デフォルトは管理アカウント自身のみ

ユーザーを追加する

• メニュー「ユーザー」から
• プライマリ情報とユーザータイプが必須(ユーザータイプ無だと最後にエラーが出た)
• オプション情報も結構細かく設定できるが、IdentityCenterディレクトリのため？
• 外部IdPを利用したときの挙動が気になる
• グループはとりあえず作らず
• 作成後、登録メールアドレスにメール -> パスワード設定 -> MFA設定の流れ
• MFA はGoogle AuthenticatorとWindows Helloの二つ登録した

権限を追加する

• ユーザーを作成しただけなのでサインインしかできない
• セットアップ項目にあった許可を追加する
• とりあえずAdministratorAccessを割り当てる
  • 業務利用とかならポリシーはちゃんと分ける
• マルチアカウント許可 > AWSアカウントより対象のAWSアカウントを指定してユーザーと権限を設定する
• SSOからいったんサインアウトし、再度サインインすることで使用するAWSアカウントが選択できるようになった

IdentityCenterのSSOを利用してAWSアカウントにサインインできるようになった。
これまではIAM Roleを使ってログインしていたが、管理が少々面倒な部分があった。
今後はコンソールログインのためのRoleは必要なさそうなので、影響を確認した上で削除することとする。