« 英国電子通信安全局(CESG UK)のクラウドセキュリティ原則のコンテキストにおけるAWSの利用について | メイン | 【2015/5/27 19:30〜】 Solutions Architect オープンハウス 開催! »

AWS管理コンソールとAWS Directory Serviceを利用した、AWSアカウントの容易な切り替え方法について

今年の初めに、AWS Identity and Access Management (IAM)チームはユーザーがAWS管理コンソール上でアカウントの切り替えを可能にする、ロールの切り替え機能のサポートに関して発表をしました。 ユーザーの利益としては、各アカウントのためにサインアウトやサインインを強いられることなしにアカウントの切り替えを行うことができるというものです。 標準のIAMユーザーへの提供に加え、このロールの切り替え機能は AWS Directory Service (Directory Service)のSimple ADディレクトリやAD Connector上のユーザーを含むフェデレーテッドユーザーでも使用できます。

Directory Serviceは、(AD Connectorを介した)既存のMicrosoft Active Directory (AD)ドメインやSimple ADからのディレクトリユーザーがAWSアカウント上のリソースへアクセスすることを認可できるようにすることができます。Directory ServiceはAWS管理コンソールのためのお客様固有のAccess URLを提供しますので、ユーザーは既存の企業で使われている認証情報でサインインすることに利用することができます。 Directory Serviceについての情報に関しては、私達のドキュメントをご覧ください。

このブログ記事は、どのように(Simple ADやAD Connectorを介した)フェデレーテッドユーザーが既存のディレクトリの認証情報を利用してサインインし、AWS管理コンソールとDirectory Serviceを用いることで容易にアカウントを切り替えることができるか解説します。

Step 1: ユーザーとディレクトリ、Access URLのセットアップ

この記事の内容を行うために、あなたはSimple ADかAD Connectorのセットアップを行う必要があります。 もしまだSimple ADをセットアップしていなかったり、AD Connectorを用いて既存のディレクトリと接続していなければ、以下のドキュメンテーションに必要な手順が含まれています:

Note:フェデレーテッドユーザーが管理コンソールにサインインするとき、デフォルトではあなたのSimple ADやAD ConnectorがあるAWSアカウントにサインインします。そこから、フェデレーテッドユーザーはアクセスの許可された他のアカウントにスイッチすることができます。フェデレーテッドユーザーは常にこのデフォルトのアカウントから始まるため、Simple ADやAD Connectorは最も理にかなったAWSアカウントに置くようにしてください。

あなたはSimple ADやAD ConnectorのためのAccess URLも必要です。 もしまだであれば、こちらがアクセス用URLを作成するためのステップになります。 Access URLはフェデレーテッドユーザーがAWS管理コンソールにサインインすることに使われるエンドポイントです。 Access URLのフォーマットはhttps://{examplecompany}.awsapps.com/consoleのようになります。 また、ディレクトリ用のコンソールアクセスはStep2に行く前に利用できるようにしておく必要があります。

もしコンソールアクセスがまだ利用できないのであれば、以下のステップを実行してください。

  1. AWS Directory ServiceのコンソールでDirectoriesを選択します
  2. あなたのディレクトリのDirectory IDのリンクをクリックします
  3. Directory Detailsのページで、Apps & Servicesタブを選択します
  4. Servicesの場所で、AWS Management ConsoleのためのManage Accessリンクをクリックします
  5. Enable AWS Management Consoleの中で、Enable Applicationをクリックします。コンソールアクセスがあなたのディレクトリのために有効化されました。

Step2: ディレクトリのユーザーへのロールのアサイン

ディレクトリのセットアップのあとで、AWS管理コンソールにアクセスさせたいフェデレーテッドユーザーを識別します。 そして、Directory Serviceのコンソールを用いて、ディレクトリ上のユーザーにIAMロールをアサインします。

Step3: 外部アカウントのロールのセットアップ

あなたがアクセス権を与えたい追加の各アカウントにおいてIAMロールを作成します。 クロスアカウントアクセス用のロールを作成するには、ブログ記事”【AWS発表】AWSマネジメントコンソールへのCross-Account Access” かドキュメントの"IAM ユーザーにアクセス権限を委任するロールの作成"を参照ください。

クロスアカウントロールのセットアップの後に、あなたはどのディレクトリユーザーがそのロールを引き受けることができるか、IAMのコンソール上の新しく作られたロールのtrust policy(信頼ポリシー)を編集することで制限することができます。(以下の画面を見てください) 

あなたは外部アカウントのロールを引き受けることができる特定のディレクトリユーザーにアクセスを許可するポリシーを構成するために、以下のロールテンプレートを利用することができます。 {directory-user-1}{directory-user-2}はあなたがアクセスを許可したいディレクトリユーザーの完全なユーザー名と入れ替えてください。 これらのユーザーがこのブログ記事のStep1に示されたように既にセットアップしているはずです。 ディレクトリユーザー名はたいていjohndoeのように短い文字列の形式です。 あなたは好きなだけのユーザーをこのポリシーの中で指定できます。 {directory-account-id}はロールをセットアップしたときにtrust policyの中にいれられているはずですが、ディレクトリをセットアップしているAWSアカウントIDと同じかダブルチェックすることをお勧めします。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::{directory-account-id}:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:userid": [
            "*:{directory-user-1}",
            "*:{directory-user-2}"
          ]
        }
      }
    }
  ]
}

Step4: ログイン用リンクの共有

ロールをセットアップした後に、あなたはIAMのコンソールからロールの切り替えのリンクをコピーし、フェデレーテッドユーザーに配布することができます。

 ユーザーがロール切り替えのURLをもっていれば、シンプルな2ステップで開始をすることができます。

1.AWS管理コンソールに以下のようなDirectory ServiceのAccess URLを用いてサインインします。

https://{examplecompany}.awsapps.com/console

2.ロール切り替え用URLをブラウザのアドレスフィールドにペーストします。ロール切り替えのページが出たらSwitchをクリックしてください。

以下の画像のように、フェデレーテッドユーザーは新しいアカウントになり、引き受けたIAMロールの権限でAWSリソースにアクセスすることができます。

特定のロール切り替えURLと結びつくアカウントとロールは将来素早くスイッチするためにコンソールのドロップダウンメニューにリストされます。

結論

このブログ記事では、どのように(Simple ADやAD Connectorを介した)フェデレーテッドユーザーが既存のディレクトリの認証情報を利用してサインインし、AWS管理コンソールとDirectory Serviceを用いることで容易にアカウントを切り替えることができるか解説しました。

これにより各AWSアカウント、各ユーザー、それぞれの認証情報を管理する必要性がなくなり、あなたの全てのAWSアカウントについてのアクセス管理をシンプルにします。

私達はあなた方がどのようにDirectory ServiceをIAMと使用しているかより伺いたいと思っています。 またどのように私達が改善できるかについてのどんなフィードバックも歓迎します。 あなたは下にコメントを投稿することや、Directory Serviceフォーラムを訪れコメントや質問を投稿することができます。

-Rob (日本語訳は高田智己が担当しました)

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2018年4 月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30