リファレンスデプロイ

AWS での Okta Advanced Server Access

Okta ソフトウェアを使用して Amazon EC2 アクセスの管理を合理化する

デプロイガイドを表示

このパートナーソリューションは、Okta Advanced Server Access (Okta ASA) を Amazon Web Services (AWS) クラウドにデプロイします。これは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをデプロイおよび管理するシステム管理者向けです。これを利用することで、Okta ソフトウェアを使用してリモートアクセスを保護し、ローカルアカウントと許可を制御できます。

このパートナーソリューションをデプロイすると、Amazon EC2 インスタンスへのアクセスが Okta シングルサインオンワークフローを通じて認証および承認されます。このワークフローではコンテキストに応じた多要素認証を行うことができ、認証情報の盗難や悪用のリスクが軽減されます。また、追加のコントロールや管理レイヤーでシークレットを覆い隠す必要も少なくなります。

具体的には、このパートナーソリューションには、ローカル EC2 インスタンスのユーザーとグループのアカウントとそれらのマシンレベル許可のライフサイクルを管理するメカニズムが用意されています。これらについての情報は、Okta Identity Cloud から直接入手できます。EC2 インスタンスに対する認証メカニズムとして Okta ASA を使用すると、ログインに静的な認証情報は必要ありません。それに代わり、Okta では集中管理の Okta ID データベースに含まれるユーザーの最小権限アクセスプロファイルに直接関連付けられた、1 回限りの動的なワンタイムアクセストークンが使用されます。

Linux EC2 インスタンスにアクセスするには Secure Shell (SSH) を使用し、Windows EC2 インスタンスにアクセスするにはリモートデスクトッププロトコル (RDP) を使用します。デフォルトでは、このパートナーソリューションによって Linux EC2 インスタンスへの SSH アクセスが設定されます。

このパートナーソリューションは Okta と AWS が共同開発しました。Okta は AWS パートナーです。

  •  構築するもの

  • このパートナーソルーションでは以下のセットアップを行います。

    • 2 つのアベイラビリティーゾーンにまたがる可用性の高いアーキテクチャ。*
    • AWS のベストプラクティスに基づいてパブリックおよびプライベートサブネットが設定された Virtual Public Cloud (VPC)。AWS で独自の仮想ネットワークを実現します。*
    • パブリックサブネット内:
      • マネージド Network Address Translation (NAT) ゲートウェイ。プライベートサブネット内のリソースへのアウトバウンドのインターネットアクセスを提供します。*
      • Auto Scaling グループ内の Linux 踏み台ホスト。このホストには Okta サーバーエージェントがインストールされています。これは、プライベートサブネット内の EC2 インスタンスへの SSH アクセスのための踏み台として機能する設定を共有しています。
    • プライベートサブネット内の、Auto Scaling グループに属する Linux EC2 インスタンス (ターゲットホスト)。このターゲットホストは Okta サーバーエージェントがインストール済みであり、パブリックサブネット内の Linux 踏み台ホストを介してのみアクセス可能になるよう設定されています。*

    * パートナーソリューションを既存の VPC にデプロイするテンプレートは、アスタリスクが付けられたコンポーネントをスキップし、既存の VPC 設定にユーザーを誘導します。

    AWS での Okta ASA のクイックスタートアーキテクチャ
  •  デプロイ方法

  • デプロイガイドの指示に従って、このパートナーソリューションをデプロイします。これには次のステップが含まれます。

    1. Okta ASA プロジェクトを作成し、インスタンスの登録を設定します。
    2. AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。
    3. パートナーソリューションを起動します。スタックのデプロイには、約 30 分かかります。スタックを作成する前に、上部のツールバーから AWS リージョンを選択します。次のいずれかのオプションを選択してください。
    4. デプロイをテストします。

    Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

    デプロイガイドで詳細を見る
  •  コストとライセンス

  • このパートナーソリューションでは、Okta Advanced Server Access のライセンスが必要です。この製品では、ユーザーとグループの管理、アカウントのライフサイクル管理、シングルサインオン、および多要素認証を行うために Okta Identity Cloud が利用されています。

    本番環境でパートナーソリューションを使用するには、Okta ASA にサインアップします。手順に従って、新規または既存の Okta テナントを利用する Okta ASA テナントを作成します。ソフトウェアを AWS クラウドにデプロイするためにライセンスファイルは必要ありません。

    このソリューションの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。このソリューションを使用しても追加コストは発生しません。

    このソリューションには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。

    ヒント: ソリューションをデプロイした後、 AWS Cost and Usage Report を作成し、関連するコストを追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、 AWS Cost and Usage Report とはを参照してください。