AWS SSOの有効化と基本設定

こんにちは、阿形です。

今回はAWS SSOの有効化と、最低限の基本設定をやってみようと思います。
大まかな流れは以下の通りです。

1. Organizationsですべての機能を有効化
2. AWS SSOの有効化
3. AWS SSOでのID管理の設定
4. AWSアカウントへのアクセス管理の設定
5. MFAの有効化

最初に決定しておくこと

SSOに用いるIDソースを決定しておく必要があります。IDソースには以下のものが選択可能です。

• AWS SSOでのID管理
• Microsoft Active Directory (公式ドキュメント)
• SAMLに対応した外部IDプロバイダー(公式ドキュメント)

ここでは最も簡単なAWS SSOデフォルトのID管理を使用し設定してみます。

Organizationsですべての機能を有効化する

AWS公式ドキュメント

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html

注意点

• すべての機能を有効にするプロセスを開始すると、AWS Organizationsは、組織に招待したすべてのメンバーアカウントにリクエストを送信する。
• 招待されたすべてのアカウントで、招待リクエストを受け入れることによって、すべての機能を有効にすることを承認する必要がある。
• 一度すべての機能を有効化すると、課金のみの統合に戻すことはできない。

すべての機能の有効化手順

1. AWS Organizations管理アカウントにログインする
2. AWS Organizationsコンソールにアクセス
3. 設定をクリック
4. 「すべての機能を有効にするプロセスを開始する」をクリックすることにより、各AWSアカウントにすべての機能を有効化する招待リクエストが送信される
5. 各AWSアカウントにOrganizatinosの権限を持つIAMユーザー、ロールまたはルートアカウントでログインして、招待リクエストを承認する

AWS SSOの有効化

AWS公式ドキュメント

https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html

AWS Control Towerを使用すると手順が簡単になりますが、既存のものに適用する場合、問題となる可能性もあるため、ここではControl Towerは用いず、手動で設定を行います。

注意点

• 一つのOrganizationsにつき、一つしかAWS SSOは設定できません。
• Organizationsの管理AWSアカウント上の特定の一つのregionで設定します(複数のregionに配置することはできません。)

前提条件

• Organizationsの「すべての機能を有効化」が設定されていること。
• AWS Organizations管理アカウントで設定を行うこと。(メンバーアカウントでは設定できない)
• IDソースを決定し必要な設定を行う。(今回はAWS SSOのIDソースを使用するので、ほぼ自動設定される)
• URLフィルタリングを行っている場合は、以下のドメインまたはURLへのアクセスを許可する。
  • DNS domains
    • *.awsapps.com (http://awsapps.com/)
    • *.signin.aws
  • URL End-points
    • https://[yourdirectory].awsapps.com/start
    • https://[yourdirectory].awsapps.com/login
    • https://[yourregion].signin.aws/platform/login

有効化手順

1. AWS Organizationsの管理アカウントの認証情報で、AWSマネジメントコンソールにサインインします。
2. AWS SSOを設定するregionに移動します。
3. AWS SSO コンソールを開きます。
4. Enable AWS SSO を選択します。

AWS SSOでのID管理

大まかに以下の手順を行います。
IAMと異なりアクセス権限はグループやユーザーの設定には含まれないのに注意しましょう。

1. グループの追加
2. ユーザーの追加
3. ユーザーをグループに追加

グループの追加

1. AWS SSO Consoleを開きます。
2. グループをクリックします。
3. グループを作成をクリックします。
4. グループ名を入力しグループを作成をクリックします。

ユーザーの追加

1. AWS SSO Consoleを開きます。
2. ユーザーをクリックします。
3. ユーザーを追加をクリックします。
4. ユーザーネーム、パスワード設定方法、Eメールアドレス、名、姓を入力し次へをクリックします。
5. 所属するグループを選び次へをクリックします。

AWSアカウントへのアクセス管理

以下の手順を行います。

1. アクセス許可セットの作成
2. ユーザーアクセスの割り当て
3. MFAの有効化

アクセス許可セットの作成

1. AWS SSO Consoleを開きます。
2. アクセス許可セットをクリック。
3. 許可セットを作成をクリック
4. 事前定義された許可セット、またはカスタム許可セットを選択します。当初は事前定義された許可セットから必要なものを使用するのが簡単で良いと思います。
5. 事前定義された許可セットで必要なものを選択し次へをクリック。
6. 許可セットの詳細を指定し次へをクリック。セッション期間は作業の必要に応じて変更しておくと良いと思います。
7. 確認画面で作成をクリック。

ユーザーアクセスの割り当て

1. AWS SSO Consoleを開きます。
2. AWSアカウントをクリックします。
3. 設定するAWSアカウントのチェックボックスにチェックを入れます。
4. ユーザーまたはグループを割り当てをクリックします。
5. ユーザーまたはグループの割り当てができますが、グループでの割り当てが推奨されていますので、グループタブをクリックします。
6. 割り当てるグループを選択し、Nextをクリックします。
7. 割り当てるアクセス許可セットを選択します。
8. 確認画面で送信をクリックします。

MFAの有効化

AWS SSOではデフォルトではMFAは無効になっているので、有効化する。

1. AWS SSO Consoleを開きます。
2. 設定をクリックします。
3. ネットワークとセキュリティタブをクリックします。
4. 設定をクリックします。
5. 以下のようにMFAを設定します。
   • サインインコンテキスト変更された場合のみ
   • Authenticatorアプリケーション
   • サインイン時にMFAデバイスを登録するよう要求する
6. 変更を保存をクリックします。