Amazon Web Services ブログ

[AWS Black Belt Online Seminar] AWSアカウント シングルサインオンの設計と運用 資料及び QA 公開

先日 (2020/07/22) 開催しました AWS Black Belt Online Seminar「AWSアカウント シングルサインオンの設計と運用」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。

AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます)

Q. AWS Single Sign-On (SSO) のアクセス権限セットですが、IAM ロールやグループ、ポリシーとは独立したものという認識で正しいですか?AWS Single Sign-On (SSO) の管理者がメンテする必要があるのかと思っています。
A. はい。アクセス権限セットは AWS Organizations マスターアカウントの IAM ロールやグループ、ポリシーとは独立したものになります。AWS Single Sign-On (SSO) の管理画面を通じて管理者が設定したアクセス権限セットに基づいて、メンバーアカウントのロールやポリシーが構成されます。

Q. AWS Organizations のマスターアカウントではなくメンバーアカウントで AWS Single Sign-On (SSO) の設定を行うことは可能でしょうか?
A. メンバーアカウントのユーザーが AWS Single Sign-On (SSO) の設定を管理したい場合には、マスターアカウントでロールを用意しスイッチロールしてご利用ください。

Q. 複数の AWS アカウントを管理しないといけないのですが、そのような場合で AWS Single Sign-On (SSO) は利用できますか?
A. はい。AWS Single Sign-On (SSO)は複数の AWS アカウントへのシングルサインオンの管理が可能です。

Q. AWS Single Sign-On (SSO) のユーザー管理を AzureAD 等の Active Directory と連携させることはできますか?
A. AWS Directory Services を使用して、AWS Single Sign-On(SSO) からオンプレミスまたは AWS 上に構築された Active Directory に接続できます。また、外部 ID プロバイダーとして Azure AD などをサポートしています。詳細は以下を参照してください。

https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/manage-your-directory-connected.html
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/manage-your-identity-source-idp.html
https://aws.amazon.com/jp/blogs/news/the-next-evolution-in-aws-single-sign-on/

Q. External AWS Account(AWS Organizations のメンバーでないアカウント)への ID フェデレーションについて説明がありましたが、AWS Single Sign-On (SSO) は AWS Organizations を利用していなくても利用できるようになったのでしょうか?
A. AWS Single Sign-On (SSO) を有効化するためには AWS Organizations を用いて組織を構成する必要があります。AWS アカウントは SAML におけるサービスプロバイダー(SP)として動作しますから、External AWS Account についても他の SAML 対応のアプリケーションと同様に SAML で ID フェデレーションするための設定をすることができます。AWS SSO アプリケーションカタログより External AWS Account を選択して設定してください。

Q. IAM ロールを使ったクロスアカウントアクセスにより AWS のマルチアカウントを行う方法も Web 上でよく見かけますが、AWS Single Sign-On(SSO) を使った場合との使い分けやメリットについて教えてください。
A. アイデンティティを統合し一元管理できる点、結果的に運用がシンプルになる点がシングルサインオン / ID フェデレーションのメリットです。AWS Single Sign-On (SSO) の場合には、AWS Organizations のマスターアカウントからアクセス権限セットを用いてメンバーアカウントの設定をプロビジョニングできる点もメリットです。AWS アカウントの数が多い、あるいは増加が見込まれる場合に特におすすめです。

Q. 外部 ID プロバイダーからの自動プロビジョニングとローカルアイデンティティストアの併用は可能でしょうか?
A. AWS Single Sign-On (SSO) ではこれらは選択式となっており併用はできません。サードパーティの ID プロバイダー(IdP)や、Active Directory Federation Services(ADFS)を組み合わせるなどして要件を実現してください。

Q. 東京リージョンの Active Directory や AD Connector を利用して、AWS Single Sign-On (SSO) に連携する方法はありますか?
A. まず、AWS Single Sign-On (SSO) から参照する AWS Directory Services は同一リージョンに必要です。現在、AWS Single Sign-On (SSO) は東京リージョンでのご提供がありませんので、別のリージョンのものを利用する必要があります。この際、リージョン間 VPC Peering を用いることで東京リージョンの Active Directory や AD Connector を参照することが可能です。

Q. オンプレミス AD 参照と、信頼関係の違いがわからなくなりました。どちらもオンプレミス ADとの通信が発生する認識であっていますか?
A. はい。オンプレミス AD との間で信頼関係を構築した場合、オンプレミス AD のユーザーで認証が可能となりますが、認証に必要なパスワードハッシュの同期が行われるわけではありません。従って、オンプレミス AD への問い合わせが発生します。

Q. 複数の ID プロバイダー(IdP)を設定していた場合、AWS CloudTrail にてどの ID プロバイダー(IdP)を用いたアクセスなのか記録は取れますでしょうか?
A. AWS CloudTrail ログの identityprovider フィールドにて確認可能です。詳細はこちらを参照してください。
また、SAML アサーションの RoleSessionName Attribute に ID プロバイダー(IdP)固有の識別子を含めることもできます。これにより、どの ID プロバイダー(IdP)を用いたアクセスなのかを簡単に特定できるようになります。 AWS CloudTrail ログにおける RoleSessionName の取り扱いについてはこちらを参照してください。

Q. External AWS Account を利用の場合でもご説明のあったトレーサビリティについては同じという理解でよいでしょうか?
A. はい。同様です。SAML アサーションの RoleSessionName Attribute に指定した値が、AWS CloudTrailロ グに記録されます。AWS Single Sign-On (SSO) の場合には、属性マッピングのメニューからこれを設定可能です。属性マッピングの詳細はこちらを参照してください。

Q. AWS Single Sign-On (SSO) は東京リージョンで提供されていませんが、これは東京リージョンにログインできないというわけではなく、ログインポータルを含むサービスエンドポイントが東京リージョンにないという理解で正しいでしょうか?
A. はい。ご認識の通りです。たとえば、バージニア北部リージョン(us-east-1)にて AWS Single Sign-On (SSO) を有効化し、AWS Single Sign-On (SSO) のログインポータルからログインした場合にも、東京リージョンを含むその他のリージョンが利用可能です。

今後の AWS Webinar | イベントスケジュール

直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。

AWSome Day Online Conference

「AWSome Day Online」は、AWSの主要サービスや基礎知識を約 2.5 時間という短い時間で、ポイントを押さえて紹介いたします。技術的な面だけではなく、AWS クラウドを学ぶために必要となる知識を身に付けたい方、エンジニアのみならず、営業職、プリセールス職、学生まで幅広い方々におすすめします。

※この回ではAWSエキスパートによる技術的な内容についてチャット形式でのQ&Aを実施します。
※AWS サービスの導入に関するご相談も同時にチャット形式にて対応します。
※2020年は毎月第一水曜日に開催します。

日時:2020 年 8 月 5 日(水) 15:00 – 17:40 終了予定 | 詳細・お申込みについてはこちら≫

Purpose-Built Databases Week – AWS の NoSQL データベースサービス総集編 –
Purpose-Built Databases Weekは、AWS NoSQL Databasesに焦点を当てた1週間に渡る全5日間のイベントシリーズです。各日とも、製品やユースケースの概要説明、最近リリースされた機能の深掘り、カスタマートーク、日本と米国のプロダクトチームとのライブ質疑応答などが行われます。

日時:2020 年 8 月 24 日(月)~ 8 月 30 日(金) | 詳細・お申込みについてはこちら≫

【初心者向け】AWS のネットワークで知っておくべき10のこと
このセッションでは、AWS利用にあたって、最低限知っておくべきことから玄人への入り口に至るネットワークの基本的な10のことについてアマゾン ウェブ サービス ジャパンのソリューションアーキテクトが解説します。

日時: 2020 年 8 月 19 日(水)10:00 – 11:30 | 詳細・お申込みについてはこちら≫


【初心者向け】AWS で Windows Server を始めるのに必要な 10 のこと
このセッションでは、Windows ワークロードをAWSで実行するうえでのポイントや、クラウドに移行するにあたっての検討事項を技術的な側面から整理してご説明します。

日時: 2020 年 8 月 26 日(水)10:30 – 12:00 | 詳細・お申込みについてはこちら≫

AWS Black Belt Online Seminar

8 月のアジェンダは以下を予定しています。新しいサービス Amazon CodeGru をBlack Beltで取り扱うのは初めてです。そのほかもアップデートなど AWS サービスの最新情報をライブ配信でお届けします。セミナー中は内容に関する疑問点を質問することができます。参加された方だけの特権ですので、ぜひこの機会にご視聴ください。

8 月分の詳細・お申込はこちら≫

  • 8/11(火)12:00-13:00 CloudEndure
  • 8/12(水)18:00-19:00 Amazon Macie
  • 8/18(火)12:00-13:00 AWS Shield Advanced
  • 8/19(水)18:00-19:00 FreeRTOS
  • 8/25(火)12:00-13:00 AWS EC2 Image Builder
  • 8/26(水)18:00-19:00 AWS CloudFormation