Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS SSO 超入門 / AWS SSO Super begginer's book
Search
株式会社ヌーラボ
PRO
April 16, 2021
Technology
2
700
AWS SSO 超入門 / AWS SSO Super begginer's book
2021年4月16日(金)に開催されたNuCon mini 2021 Springの発表資料です。
▼発表動画アーカイブ
https://youtu.be/DzTGlni8pRE?t=2117
株式会社ヌーラボ
PRO
April 16, 2021
Tweet
Share
More Decks by 株式会社ヌーラボ
See All by 株式会社ヌーラボ
【資料】30分でわかる!“とりあえず課題を作った”から抜け出すBacklog活用術
nulabinc
PRO
0
21
【展示会ご参加者様向け】Backlog概要編-配布資料
nulabinc
PRO
0
30
Why Platform Engineering? - マルチプロダクト・少人数 SRE の壁を越える挑戦 -
nulabinc
PRO
5
680
Datadog のトライアルを成功に導く技術 / Techniques for a successful Datadog trial
nulabinc
PRO
0
320
僕たちは何を守っているのか?ビジネスを守る、ヌーラボのセキュリティ実践
nulabinc
PRO
1
69
Snowflake九州ユーザー会
nulabinc
PRO
0
66
ヌーラボ‧ウェブサイト課の ⼀年間の取り組みをふり返る
nulabinc
PRO
1
1.1k
今からでも入れる re:Inventがあるんですか!?
nulabinc
PRO
0
440
ライティングチームだからこそできた、「どことでも繋がれるチーム」づくりの結果 / Technical Writing Meetup vol.38
nulabinc
PRO
0
110
Other Decks in Technology
See All in Technology
Lambda Web Adapterについて自分なりに理解してみた
smt7174
5
150
事業成長の裏側:エンジニア組織と開発生産性の進化 / 20250703 Rinto Ikenoue
shift_evolve
PRO
2
12k
LangSmith×Webhook連携で実現するプロンプトドリブンCI/CD
sergicalsix
1
180
2025-06-26_Lightning_Talk_for_Lightning_Talks
_hashimo2
2
120
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
upamune
6
4.8k
KubeCon + CloudNativeCon Japan 2025 Recap Opening & Choose Your Own Adventureシリーズまとめ
mmmatsuda
0
250
Github Copilot エージェントモードで試してみた
ochtum
0
140
Tech-Verse 2025 Keynote
lycorptech_jp
PRO
0
1.5k
Beyond Kaniko: Navigating Unprivileged Container Image Creation
f30
0
120
Fabric + Databricks 2025.6 の最新情報ピックアップ
ryomaru0825
1
160
AWS認定を取る中で感じたこと
siromi
1
140
生成AI開発案件におけるClineの業務活用事例とTips
shinya337
0
200
Featured
See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.1k
Music & Morning Musume
bryan
46
6.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
107
19k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
29
9.5k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
46
9.6k
Six Lessons from altMBA
skipperchong
28
3.9k
Embracing the Ebb and Flow
colly
86
4.7k
The Invisible Side of Design
smashingmag
301
51k
How STYLIGHT went responsive
nonsquared
100
5.6k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Producing Creativity
orderedlist
PRO
346
40k
Transcript
AWS SSO 超入門 - AWSの すごい さーびす お伝えしたい - 株式会社ヌーラボ
SRE 二橋 宣友 1
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 2
自己紹介 • 氏名 ◦ 二橋 宣友 (ふたはし ひさとも) • 所属
◦ 株式会社ヌーラボ ◦ SRE (Site Reliability Engineer) • 業務内容 ◦ 主にビジネスチャットツール Typetalk の SRE 業務 ◦ 会社全体の SRE 業務 • 最近の趣味 ◦ コーチング ◦ ウクレレ ◦ 3Dモデリング 3
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 4
• 複数のAWSアカウント と 複数のビジネスアプリケーション に対して、 一元的な アカウント / 権限管理 と
シングルサインオンアクセス を提供 • アカウントは、AWS SSOで管理 または 既存IdPを利用可能 AWS SSO (Single Sing-On) とは? 5 ビジネス アプリケーション ビジネス アプリケーション AWS SSO ビジネス アプリケーション アカウント / 権限管理 ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングル サインオン
• 複数のAWSアカウント / ビジネスアプリケーションを利用している組織 • アカウント管理 / 権限管理を統括的にしたい組織 => 大企業にだけおすすめ?
小規模からでもおすすめ! どういう人向きか? 6 複数のAWSアカウントを 使う機会がないから関係ねー。 ちょっと待てぃ!! マルチアカウント構成が 適切なケースは意外と多い YO!
(参考) マルチアカウントのすゝめ • シングルアカウントとマルチアカウントの簡易比較 • リソースを明確に分割 / 管理できるメリット ◦ セキュリティの境界:
アカウントレベルで、保護や切り分け ◦ コスト管理: コスト配分タグを使わずに、シンプルにアカウント単位で管理できる ◦ 権限管理: アカウントレベルでの切り分け、シンプルな権限設定ができる ◦ 環境分離: 開発環境 / 本番環境 / ワークロード別など、 APIの分離やオペミス防止 7 シングルアカウント マルチアカウント 適所 個人や超小規模開発向き 組織での開発 メリット 導入が早く小規模ならシンプル リソースを明確に分割 / 管理 デメリット 規模が拡大すると管理が複雑化 導入準備が必要 各アカウントの管理が大変 AWS Organizations、 AWS Control Tower、 AWS SSOで解決
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 8
AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションで アカウント / 権限管理が必要
9 AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 ポータル ポータル ポータル ポータル ポータル ポータル 失敗した失敗した失敗した 失敗した失敗した失敗した
AWS SSO がない世界線 • 各AWSアカウント / ビジネスアプリケーションで アカウント / 権限管理が必要
10 AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション AWS アカウント ビジネス アプリケーション アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 アカウント / 権限管理 ポータル ポータル ポータル ポータル ポータル ポータル 失敗した失敗した失敗した 失敗した失敗した失敗した ジャングルのように混沌としてて サルが混ざっても気づかない
AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションの アカウント / 権限管理を統合
11 ビジネス アプリケーション ビジネス アプリケーション AWS SSO ビジネス アプリケーション アカウント / 権限管理 ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングル サインオン 勝利のときは来た!
AWS SSO がある世界線 • 各AWSアカウント / ビジネスアプリケーションの アカウント / 権限管理を統合
12 ビジネス アプリケーション ビジネス アプリケーション AWS SSO ビジネス アプリケーション アカウント / 権限管理 ポータル AWS アカウント AWS アカウント AWS アカウント IdP シングル サインオン 勝利のときは来た! 美しすぎて 範馬•次郎ばりの美開脚をする人 を置いても気づかない
ポータルのサンプル 13 本図は公式ページより引用 : https://aws.amazon.com/jp/blogs/news/introducing-aws-single-sign-on/ 複数の AWSアカウント 複数の ビジネスアプリ ケーション
複数の Roleも設定可能
その他の特長 / おすすめポイント • AWSとの親和性が高い • CloudTrailとの統合でアクセス監査 • 導入が簡単 (後半のスライドで解説)
• 移行が楽 ◦ 既存のIAM Userを残しながら、AWS SSOを並行利用することもできる。 • 一時的なクレデンシャルのため、よりセキュア • 追加料金なし • 開発が活発 14
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 15
AWS SSO のはじめ方 1. 前提条件 2. AWS SSOの有効化 3. ディレクトリの選択
4. AWSメンバーアカウントへのSSOの設定 5. ビジネスアプリケーションへのSSOの設定 16
• AWS Organizationsで組織を作成 / すべての機能を有効化する 1. 前提条件 17 メンバー アカウント
メンバー アカウント メンバー アカウント 管理 アカウント どの機能を有効化しますか? ▶ すべての機能 一括請求機能のみ
2. AWS SSOの有効化 • 管理アカウントでAWS SSOの有効化をする 18 メンバー アカウント メンバー
アカウント メンバー アカウント 管理 アカウント AWS SSO AWS SSOを有効化しますか? ▶ はい いいえ
3. ディレクトリの選択 • 管理アカウントのAWS SSOで利用するディレクトリを選択する 19 メンバー アカウント メンバー アカウント
メンバー アカウント 管理 アカウント AWS SSO どのディレクトリを使いますか? ▶ AWS SSOで管理 ▶ Microsoft AD ▶ 外部IDプロバイダー みなさんの環境に あってるものを選んでね
グループB 4. AWSアカウントへのSSO設定 20 グループA ユーザA ユーザB 無所属 ユーザC アクセス権限
セットA アクセス権限 セットB メンバー アカウントA メンバー アカウントB メンバー アカウントC 管理 アカウント SSO管理 SRE ①ユーザ / グループを作成する (IdP接続の場合自動同期) ②アクセス権限セットを作成する ③AWSアカウント と ユーザ / グループ と アクセス権限セット の組を設定 アクセス権限 セットC 開発者
5. ビジネスアプリケーションへのSSO設定 • ①アプリケーションの設定 ◦ アプリケーションの選択 (2021/04/13時点で300以上の公式サポート、 SAML 2.0対応のカスタムアプリケーション )
◦ SAMLメタデータの設定 ◦ アプリケーションの開始 URL ◦ セッション期間 など。 • ②ユーザ / グループの割り当て 21 主にSSOやID連携で利用される 標準規格のマークアップ言語
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 22
AWS SSOの仕組み 23 AWS SSO AWS アカウント アクセス権限 セット IAM
Role アカウント管理 IdP ①ポータルへアクセス アクセス権限セットと ユーザー/グループとアカウントを 紐付けた際にIAM Roleとして同期 ポータル ②認証 ③アクセス権限セットと その割り当てに基づく表示 ④選択した AWSアカウントのRoleに Assume Role
アクセス権限セットとは? • AWSアカウントに対するアクセス権限の定義 ( ≒ IAM Role ) • 最大10個のAWS管理ポリシーと
最大1個のカスタムアクセス権限ポリシーを定義 (IAM Policyと同じ記法) 24 アクセス権限 セットB アクセス権限 セットC SRE 開発者 PowerUserAccess AWS管理ポリシー カスタム権限ポリシー AmazonEC2FullAccess ReadOnlyAccess 特定のS3バケットへの書き込み と 特定のSecretsManagerの読み取り
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 25
補足説明 • 認証情報の取得方法 ◦ ポータル ◦ CLI (AWS CLI バージョン2でのみ利用可能)
26 $ aws configure sso # 初回のみの設定 $ aws sso login --profile [profile] # 期間中有効な認証情報取得 ※AWS SSOの認証情報は ~/.aws/credentials に書き込まない => 古いライブラリだと認証情報を認識できないことがある => ライブラリ最新化 or 環境変数で設定 or 他のツールで設定
目次 • 自己紹介 • AWS SSO の概要 • AWS SSO
の特長 • AWS SSO のはじめ方 • AWS SSO の解説 • AWS SSO の補足説明 • さいごに 27
さいごに • アカウント管理 / 権限管理は大変だけど大事。 • AWS SSO でみんな (情シス
/ 開発者 / ユーザーなど) が 幸せな世界線に行けるといいですね。 • 「AWS SSO 良さそう!使いたい!」っと思ってくれたら幸いです。 28
おしまい 29 ご清聴ありがとうございました ▶ 拍手する たたかう まほう
どうぐ にげる