OU外でもIAM Identity Centerを使いたい！

©2024 Metaps Holdings, Inc. OU外でもIAM Identity Centerを使いたい！株式会社メタップスホールディングス SRE
こかも (岡本健太郎)

©2024 Metaps Holdings, Inc. ⾃⼰紹介略歴 SIerでクラウドインフラ3年 -> 現職でSRE 趣味
DJ, ⾳楽ゲーム, ポーカー, ダーツ, サウナ岡本健太郎株式会社メタップスホールディングス SRE Okamoto Kentaro ＠kokamoto01 フォローしてね

©2024 Metaps Holdings, Inc. 社名  株式会社メタップスホールディングス   (Metaps Holdings, Inc.)
  設立  2023年1月26日　  資本金  100百万円（資本準備金を含む）  ※2023年12月末時点  所在地  東京都渋谷区渋谷二丁目24番12号   渋谷スクランブルスクエア   従業員数  72名 ※2023年12月末時点  経営陣  代表取締役　山﨑祐一郎取締役　　　原大輔  取締役　　　青沼克典   社外取締役　大谷仁人   監査役　　　萩野矢宏樹事業内容  クラウドとAIを中心にしたインキュベーション   テクノロジー企業への投資     MISSION テクノロジーでお金と経済のあり方を変える     世界を解き放つ       VISION 会社概要

©2024 Metaps Holdings, Inc. ©2024 Metaps Holdings, Inc. 5 インフラ基盤
アプリケーションが動いてる環境アプリケーションのエラーをトラッキングするツールオンコール担当 (SRE) に障害をエスカレーションするサービスインフラ基盤の監視エラートラッキングオンコール通知 srestは各種インフラサービスのインテグレーション先となり、各サービスのイベントログを集積‧可視化する基盤にイベントログの集積‧可視化システムメトリクス監視ツール 5 5 無料トライアル実施中＞

©2024 Metaps Holdings, Inc. IAMポリシーのみでAWSアカウントにログインできるSSOサービス「許可セット」を使うことで IAMポリシー名を指定するだけでログイン先の設定が完了する 😆 アクセスキー&シークレットアクセス
キーを抹消できる MFAを各アカウントで設定する必要がなくなる CLIでもaws sso loginコマンドで⼀発 -> 依存関係がなくシンプルつまりIAMユーザー不要！？

©2024 Metaps Holdings, Inc. 許可セットには落とし⽳がある OU(Organization Unit) 内に存在するアカウントのみに設定可能ビジネスパートナーに
SSO適⽤できない！？

©2024 Metaps Holdings, Inc. 「IAM Identity Centerアプリケーション」を使いましょう SAML認証経由で AWSアカウントにアクセス (AssumeRole)
IAMポリシーではなく IAMロールを参照する信頼ポリシーの変更不要！

©2024 Metaps Holdings, Inc. 作り⽅ • アプリケーション -> 「カタログからアプリケーションを選択」 ->
「External AWS Account」 • 「IAM Identity Center メタデータファイル」をダウンロード (GitHub等ソースコード管理下におくことを推奨)

©2024 Metaps Holdings, Inc. 作り⽅ • ログイン先アカウントで IAM -> IDプロバイダを追加
Terraformでリソースを作成することができるので、メタデータの管理が活きる

©2024 Metaps Holdings, Inc. 作り⽅ • 親アカウントに戻って、IICアプリケーションを選択 ->「属性マッピング」 • IICグループにユーザーをアタッチ
• IICグループをアプリケーションに割り当てるアプリケーションのユーザー属性ユーザー属性マッピング形式 https://aws.amazon.com/SAML /Attributes/Role https://aws.amazon.com/SAML/Attributes/Role arn:aws:iam::{AWSアカウントID}:saml-provider/{IDプロバイダー},arn:aws:iam::{AWSアカウントID}:role/{IAMロール} unspeciﬁed 属性マッピングの設定例

©2024 Metaps Holdings, Inc. 現状公式から提供されている⽅法は現実的ではない https://repost.aws/ja/knowledge-center/aws-cli-call-store-saml-credentials 1. ブラウザでデベロッパーツールを開きPOSTメソッドからSAMLResponseを探す 2. 1のログを保存して
aws sts assume-role-with-saml コマンドを⼊⼒ 3. 2の出⼒結果から”AccessKeyId”, ”SecretAccessKey”, ”SessionToken” を ~/.aws/credentials に保存これ毎回やるの！？

©2024 Metaps Holdings, Inc. 現状公式から提供されている⽅法は現実的ではない https://repost.aws/ja/knowledge-center/aws-cli-call-store-saml-credentials 1. ブラウザでデベロッパーツールを開きPOSTメソッドからSAMLResponseを探す 2. 1のログを保存して
aws sts assume-role-with-saml コマンドを⼊⼒ 3. 2の出⼒結果から”AccessKeyId”, ”SecretAccessKey”, ”SessionToken” を ~/.aws/credentials に保存これ毎回やるの！？この作業を⾃動化してくれます

©2024 Metaps Holdings, Inc. どんな仕組み？ [example] name = {saml2awsプロファイル名} app_id
= url = {IICアプリケーション URL} username = provider = Browser mfa = Auto mfa_ip_address = skip_verify = false timeout = 0 aws_urn = urn:amazon:webservices aws_session_duration = 28800 aws_profile = {AWS CLIプロファイル名} resource_id = subdomain = role_arn = region = http_attempts_count = http_retry_delay = credentials_file = saml_cache = false saml_cache_file = target_url = disable_remember_device = false disable_sessions = false download_browser_driver = false headless = false prompter = ~/.saml2aws (フォーマットバグってますが許してください) ~ % saml2aws login -a {saml2awsプロファイル名} [--download-browser-driver] 1. ~/.saml2awsに設定を記載 2. ターミナルで下記のコマンドを⼊⼒する aws sso loginコマンドと同じ感覚で使える! -> STSの⾃動発⾏ + AWS CLIのプロファイル⾃動追加

©2024 Metaps Holdings, Inc. Terraform AWSプロバイダーが(⼀部)対応してない https://registry.terraform.io/providers/hashicorp/awscc/latest/docs/data -sources/sso_application ⭕ AWS
SSO Admin (IIC) ❌ IICアプリケーション awsccプロバイダーでは対応できるが...? -> Terraformプロバイダー利⽤ポリシーが社内で決まっており今回は断念

©2024 Metaps Holdings, Inc. Google Workspaceとの相性が悪かった弊社で運⽤しているGoogle Workspaceの組織は2アカウントで契約中 ‧正社員 ‧業務委託
IICのIDソースは1対1での紐付け - Google WorkspaceのIDをソースとしてしまうと業務を担当している⼈全員にSSOが⾏き渡らない IICが発⾏している IDソースを使うことで解決

OU外でもIAM Identity Centerを使いたい！

OU外でもIAM Identity Centerを使いたい！

kokamoto01

More Decks by kokamoto01

Featured

Transcript

©2024 Metaps Holdings, Inc. OU外でもIAM Identity Centerを使いたい！株式会社メタップスホールディングス SRE

©2024 Metaps Holdings, Inc. ⾃⼰紹介略歴 SIerでクラウドインフラ3年 -> 現職でSRE 趣味

©2024 Metaps Holdings, Inc. 社名  株式会社メタップスホールディングス   (Metaps Holdings, Inc.)

©2024 Metaps Holdings, Inc. 4 srestはAWSファンデーショナルテクニカルレビュー（FTR）認証を取得しています無料トライアル実施中＞

©2024 Metaps Holdings, Inc. ©2024 Metaps Holdings, Inc. 5 インフラ基盤

©2024 Metaps Holdings, Inc. IAM Identity Center

©2024 Metaps Holdings, Inc. https://speakerdeck.com/opelab/20240621-aws-summit-iam ⽇本⼀わかりやすいIAM Identity Centerの概要はこちら

©2024 Metaps Holdings, Inc. IAMポリシーのみでAWSアカウントにログインできるSSOサービス「許可セット」を使うことで IAMポリシー名を指定するだけでログイン先の設定が完了する 😆 アクセスキー&シークレットアクセス

©2024 Metaps Holdings, Inc. 許可セットには落とし⽳がある OU(Organization Unit) 内に存在するアカウントのみに設定可能ビジネスパートナーに

©2024 Metaps Holdings, Inc. じゃあどうすればいいの？

©2024 Metaps Holdings, Inc. 「IAM Identity Centerアプリケーション」を使いましょう SAML認証経由で AWSアカウントにアクセス (AssumeRole)

©2024 Metaps Holdings, Inc. 作り⽅ • アプリケーション -> 「カタログからアプリケーションを選択」 ->

©2024 Metaps Holdings, Inc. 作り⽅ • ログイン先アカウントで IAM -> IDプロバイダを追加

©2024 Metaps Holdings, Inc. 作り⽅ • 親アカウントに戻って、IICアプリケーションを選択 ->「属性マッピング」 • IICグループにユーザーをアタッチ

©2024 Metaps Holdings, Inc. できた！

©2024 Metaps Holdings, Inc. マネジメントコンソールのアクセスはできた。でもCLIでのアクセスはどうすれば？

©2024 Metaps Holdings, Inc. 現状公式から提供されている⽅法は現実的ではない https://repost.aws/ja/knowledge-center/aws-cli-call-store-saml-credentials 1. ブラウザでデベロッパーツールを開きPOSTメソッドからSAMLResponseを探す 2. 1のログを保存して

©2024 Metaps Holdings, Inc. 「saml2aws」を使いましょう https://github.com/Versent/saml2aws

©2024 Metaps Holdings, Inc. 現状公式から提供されている⽅法は現実的ではない https://repost.aws/ja/knowledge-center/aws-cli-call-store-saml-credentials 1. ブラウザでデベロッパーツールを開きPOSTメソッドからSAMLResponseを探す 2. 1のログを保存して

©2024 Metaps Holdings, Inc. どんな仕組み？ [example] name = {saml2awsプロファイル名} app_id

©2024 Metaps Holdings, Inc. IIC アプリケーションURL ~/.saml2aws

©2024 Metaps Holdings, Inc. 苦労したこと

©2024 Metaps Holdings, Inc. Terraform AWSプロバイダーが(⼀部)対応してない https://registry.terraform.io/providers/hashicorp/awscc/latest/docs/data -sources/sso_application ⭕ AWS

©2024 Metaps Holdings, Inc. Google Workspaceとの相性が悪かった弊社で運⽤しているGoogle Workspaceの組織は2アカウントで契約中 ‧正社員 ‧業務委託