KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】AWS Single Sign-On ついに東京リージョンに!

先端技術部
エバンジェリスト 松岡 政之     matsuoka2_274x380

こんにちは。先端技術部エバンジェリストの松岡です。

久しぶりのコラムですが先月部署異動し、先端技術部所属になりました。
しかし、私のミッションは大きく変わっておりませんので、引き続き AWS をいろいろいじっていきたいと思います。

私の趣味的な部分では、 AWD Ryzen の新モデルが 11 6 日に発売されるのでとてもワクワクしています。前世代と同じく最大 16 コアですがシングルスレッドの性能が大きく伸び、 Intel Core-i9 10900K を上回るとも言われています。
その代わり価格は 16 コアで 10 万円を超える金額ですが、クリエイターなど CPU 能力をたくさん必要とする層からすると素晴らしいコストパフォーマンスになると思われます。
前世代から性能が大きく伸びた理由の一つとして、 CPU のコアとキャッシュをまとめた CCX が前世代では 4 コアだったのが 8 コアになり、コア間でデータを共有する際に CCX をまたぐやり取りが大きく削減され( 8 コア以下ではなくなり)レイテンシが大きく改善されたためといわれています。
私としては Ryzen Threadripper 32 コア以上のモデルが出てから本番なので、来年値段とにらめっこしながら頭を悩ます未来がいまから見えます。

さて、今回の本題に入ります。
話題としては少し乗り遅れた感じはありますが、 AWS Single Sign-On ( 以下、 AWS SSO) 9 3 日に東京リージョンでも利用できるようになりました。

※外部サイト: AWS の最新情報: AWS Single Sign-On がさらにアジアパシフィックの 3 つのリージョンで利用可能に

非常に有用なサービスなのですが東京リージョンで利用できなかったため、様々な理由で海外リージョンの利用が難しかった方々からすると待ちわびたアップデートではないでしょうか。
AWS SSO がどういったサービスかは以下の公式ブログで簡単に説明されていますのでご確認ください。

※外部サイト: AWS ブログ: AWS Single Sign-On が東京リージョンで利用できるようになりました

  それでは早速触ってみましょう。
まず、 SSO のページに初めてアクセスすると以下のような画面になります。早速有効にしていきましょう。
sso001_768x542
AWS SSOの利用にはAWS Organizationsが必要になるため、まだ有効化していなければ組織の作成を促されますので組織の作成をしていきます。
sso002_768x583

AWS 組織の作成をクリックすると一度画面が切り替わり、しばらく待つとまた画面が切り替わります。
下記のような画面に切り替わると、問題がなければ AWS SSO が有効化されたことがわかります。
それではIDソースを選択から設定していきます。
sso004_768x540

ID ソースは、「 AWS SSO 」、「 SAML 2.0 互換 ID プロバイダー (IdP) 」、「 Active Directory (AD) 」から選択できます。
AWS SSO 」を選択した場合は、 AWS SSO ユーザポータルから認証する形になります。
SAML 2.0 互換 ID プロバイダー (IdP) 」は SAML 2.0 に対応した外部 SSO プロバイダーを利用して認証する形になります。
Active Directory (AD) 」を選択すると、同リージョンの AWS Managed AD AD Connector を利用してオンプレミスの AD の認証情報を利用して認証する形となります。
AD を利用した SSO は以前からありましたので今回は AWS SSO を選択してみます。
sso005_768x518

ユーザポータルについては、「カスタマイズ」をクリックすることで 1 度だけサブドメインを変更することができます。
画面に書いてある通り、あとから変更できないようなのでよーく考えて公開のない設定をしましょう。
sso006_768x423
続いて、多要素認証の設定をします。
sso007_768x467

設定ができるのは MFA が行われるタイミング、 MFA 未登録自の動作および管理できるユーザについてです。
sso008_768x520
続いて、左ペインの「ユーザー」から新規ユーザを作成していきます。
sso009_768x251

sso010_768x584

続いて、左ペインの「ユーザー」から新規ユーザを作成していきます。
グループについては今回はスキップしてユーザを作成します。
ユーザを作成すると、ユーザに設定した E メールアドレスに以下のようなメールが届きます。メールを受け取ったら Accept invitation からパスワードを設定します。
sso012_629x601
次に、管理画面に戻り左ペインのAWSアカウントからユーザの割り当てを行います。
sso013_768x392
先ほど作成したユーザを選択します。
sso014_768x368

アクセス権限セットの選択ではユーザに割り当てたい権限セットを選択します。
最初は権限セットがないので必要に応じて新しい権限セットを作成してください。
sso015_768x299
完了したら、ユーザポータルからログインします。
sso017_509x721

サインインすると先ほど割り当てを行ったため AWS Accont が選択できます。
クリックして開くと「 Management console 」と「 Command line or programmatic access 」を選択できます。
sso018_768x366
Management consoleを選択すると、以下のようにSSOから設定したユーザでマネジメントコンソールにアクセスできます。
sso019_768x581
Command line or programmatic accessを選ぶと、下記のようにAWSのアクセスキーが表示されます。
sso020_768x655

私個人的にはこのアクセスキーが個人ごとに利用できる仕組みが非常に大きいと思っています。
今回は AWS SSO ID ソースとして利用しましたが、 AD のユーザで認証したい場合を考えてみましょう。
AWS SSO を利用しない場合、 Directory Service からマネジメントコンソールのアクセス URL を作成することで AD アカウントでマネジメントコンソールにアクセスできるようになります。
しかし、この方法ではこのユーザに対してアクセスキーを払いだすことができません。
AD アカウントを利用しているユーザがアクセスキーを必要とする場合は別途 IAM ユーザを作成する必要があり、結局 AWS 上で追加のユーザアカウントを管理する必要が出てきてしまいます。
一方、 AWS SSO を利用すれば上記の通り、簡単にアクセスキーを利用することができます。
今回は手元に AD がなかったこともあり ID ソースを AWS SSO にして検証しましたが、 Active Directory ID ソースとすることで AD ユーザに対して同様に設定が可能です。

また、今回紹介はしていませんが Office365 GSuite GitHub などの SAML2.0 対応の他サービスと連携することで、 AWS SSO のポータル画面から直接他サービスにログインすることができるようになります。
ウィザード上から簡単に連携可能なサービスは 300 以上あり、個人的には CloudEndure Splunk などが対応しているのが嬉しいです。

すでに IAM ユーザや AD アカウント用のアクセス URL を多くのユーザで利用している場合は、ログインの方法等が変わってしまうため展開し直すのはそれなりの労力がかかってしまうかもしれませんが、まだ他 ID プロバイダーによる SSO サービスを利用していない場合は一考の価値のあるサービスだと思います。
特に、 AD アカウント用のアクセス URL を利用している場合、 CLI アクセス用の IAM ユーザとの二重管理となってしまっていると思いますので、重い腰を上げて切り替えてみると今後の運用がすっきりするかと思います。

AWS は常に進化していますので、過去にできなかったことができるようになっていたり、目的のために一度使い始めたものよりより良い実現方法が登場していたりすることがあります。
しかし、新しい物を導入しようとすると今までの運用を大きく変更する必要がある場合もあります。そこは変更に伴う労力と変更後の付加価値や軽減される労力などを天秤にかけて決める必要がありますが、そこにめんどくさいという気持ちを天秤に乗せず、時には思い切って変えていく姿勢も必要でしょう!

それではよいクラウドライフを!


当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
コラムの感想やリクエスト、セキュリティに関するお悩みも受付中!

問い合わせボタン_230x43

その他コラム一覧ボタン_271x59

松岡 政之

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

【エバンジェリスト・ボイス】Pythonで実現!顔認識プログラムでWeb会議中の集中力が判明?

【エバンジェリスト・ボイス】動画活用のすすめ!在宅勤務でも伝わるコミュニケーション

【エバンジェリスト・ボイス】Blazorと、Microsoft Graphの巻