AWS シングルサインオン によるユーザーとアカウントの管理 - AWS Control Tower

AWS シングルサインオン によるユーザーとアカウントの管理

AWS シングルサインオン は、AWS アカウントおよびビジネスアプリケーションへの SSO アクセスの管理方法をシンプルにするクラウドベースのサービスです。AWS Organizations では、すべての AWS アカウントの SSO アクセスとユーザーアクセス権限を管理できます。一般的なビジネスアプリケーションや、Security Assertion Markup Language (SAML) 2.0 をサポートするカスタムアプリケーションに対するアクセスを管理することもできます。また、AWS SSO には、ユーザーが自分に割り当てられている AWS アカウントやビジネスアプリケーション、カスタムアプリケーションを一元的に検索できるユーザーポータルが含まれます。詳細については、「AWS シングルサインオン ユーザーガイド」を参照してください。

AWS SSO および AWS Control Tower の使用

AWS Control Tower では、AWS シングルサインオン により中央クラウド管理者とエンドユーザーの両方が複数の AWS アカウントとビジネスアプリケーションへのアクセスを管理できます。AWS Control Tower では、このサービスを AWS Service Catalog で作成されるアカウントへのユーザーアクセスの管理に使用します。

AWS Control Tower での SSO ユーザーおよびアクセス許可の設定方法に関する簡単なチュートリアルについては、こちらの動画 (所要時間: 6 分 23 秒) をご覧ください。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕が利用可能です。

AWS Control Tower の初期設定の時点では、ルートユーザーと適切なアクセス許可を持つ IAM ユーザーのみ、AWS SSO ユーザーを追加できます。ただし、エンドユーザーが [AWSAccountFactory] グループに追加されると、Account Factory ウィザードから新しい SSO ユーザーを作成できるようになります。詳細については、「Account Factory」を参照してください。

Landing Zone には事前設定済みディレクトリがセットアップされており、ユーザーがアカウント間でフェデレーティッドアクセスを持つように、ユーザー ID とシングルサインオンを管理できるようになっています。Landing Zone のセットアップ時、このデフォルトディレクトリは、ユーザーグループアクセス許可セットを含むように作成されます。

ユーザーグループ、ロール、アクセス許可セット

ユーザーグループは、共有アカウント内で定義された特殊なロールを管理します。ロールは、一緒に属するアクセス許可のセットを確立します。グループのすべてのメンバーは、グループに関連付けられたアクセス許可セットやロールを継承します。メンバーアカウントのエンドユーザー用に新しいグループを作成して、グループが実行する特定のタスクに必要なロールのみをカスタムに割り当てることができます。

使用できるアクセス許可セットは、読み取り専用アクセス、AWS Control Tower 管理者アクセス、AWS Service Catalog アクセスなど、異なるユーザーアクセス許可の幅広い要件に対応しています。これらのアクセス許可セットを使用することで、エンドユーザーは、企業のガイドラインに従って、Landing Zone 内の各自の AWS アカウントを迅速にプロビジョニングできます。

ユーザー、グループ、およびアクセス許可の割り当てを計画するためのヒントについては、「グループ、ロール、ポリシーを設定する上での推奨事項」を参照してください。

AWS Control Tower のコンテキストでのこのサービスの詳しい使用方法については、AWS シングルサインオン ユーザーガイド で次のトピックを参照してください。

警告

AWS Control Tower は、AWS SSO ディレクトリをホームリージョンに設定します。Landing Zone を別のリージョンに設定して AWS SSO コンソールに移動する場合は、そのリージョンをホームリージョンに変更する必要があります。ホームリージョンの AWS SSO 設定は削除しないでください。

SSO アカウントと AWS Control Tower に関する注意事項

ここでは、AWS Control Tower で AWS SSO ユーザーアカウントを使用する際の注意事項をいくつか紹介します。

  • AWS SSO ユーザーアカウントが無効になっている場合、Account Factory で新しいアカウントをプロビジョニングしようとすると、エラーメッセージが表示されます。AWS SSO コンソールで SSO ユーザーを再度有効にすることができます。

  • Account Factory によって発行されたアカウントに関連付けられたプロビジョニング済み製品を更新するときに、新しい SSO ユーザーの E メールアドレスを指定すると、AWS Control Tower によって新しい SSO ユーザーアカウントが作成されます。以前に作成したユーザーアカウントは削除されません。AWS SSO から以前の SSO ユーザーの E メールアドレスを削除する場合は、「ユーザーを無効にする」を参照してください。

  • AWS SSO は Azure Active Directory と統合されており、既存の Azure Active Directory を AWS Control Tower に接続できます。詳細については、こちらのブログ記事をご覧ください。

  • AWS Control Tower が AWS SSO やさまざまなアイデンティティソースとやり取りする動作の詳細については、AWS SSO ドキュメントの「Considerations for Changing Your Identity Source」を参照してください。

AWS Control Tower 用の AWS SSO グループ

AWS Control Tower では、アカウントで特定のタスクを実行するユーザーを整理するために事前設定されたグループが利用できます。ユーザーを追加して、AWS SSO で直接これらのグループに割り当てられます。これにより、アカウント内でアクセス権限セットをグループにいるユーザーに一致させます。Landing Zone の設定時に作成されるグループは次のとおりです。

AWSAccountFactory
アカウント アクセス権限セット 説明
マスターアカウント AWSServiceCatalogEndUserAccess このグループは、Account Factory を使用して新しいアカウントをプロビジョニングするためにこのアカウントでのみ使用されます。
AWSServiceCatalogAdmins
アカウント アクセス権限セット 説明
マスターアカウント AWSServiceCatalogAdminFullAccess このグループは、Account Factory で管理者権限を変更するためにこのアカウントでのみ使用され ます。このグループのユーザーは、AWSAccountFactory グループにも含まれていない限り新しいアカウントをプロビジョニングできません。
AWSControlTowerAdmins
アカウント アクセス権限セット 説明
マスターアカウント AWSAdministratorAccess AWS Control Tower コンソールにアクセスできるのは、このアカウントのこのグループのユーザーのみです。
ログアーカイブアカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
監査アカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
メンバーアカウント AWSOrganizationsFullAccess ユーザーは、このアカウントで Organizations へのフルアクセスが与えられます。
AWSSecurityAuditPowerUsers
アカウント アクセス権限セット 説明
マスターアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。
ログアーカイブアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。
監査アカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。
メンバーアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。
AWSSecurityAuditors
アカウント アクセス権限セット 説明
マスターアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
ログアーカイブアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
監査アカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
メンバーアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
AWSLogArchiveAdmins
アカウント アクセス権限セット 説明
ログアーカイブアカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
AWSLogArchiveViewers
アカウント アクセス権限セット 説明
ログアーカイブアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
AWSAuditAccountAdmins
アカウント アクセス権限セット 説明
監査アカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。