SlideShare a Scribd company logo
1 of 63
© 2020, Amazon Web Services, Inc. or its Affiliates.
1
AWS 公式 Webinar
https://amzn.to/JPWebinar
過去資料
https://amzn.to/JPArchive
Security Solutions Architect
中島 智広
2020/07/22
AWSアカウント
シングルサインオンの設計と運用
ソリューションカットシリーズ
[AWS Black Belt Online Seminar]
© 2020, Amazon Web Services, Inc. or its Affiliates.
2
⾃⼰紹介
中島 智広(Tomohiro Nakashima)
AWS Security Solutions Architect
お客様のセキュリティの取り組みを
AWSアーキテクチャの視点からご⽀援
好きなAWSサービス
AWS Single Sign-On(SSO)
© 2020, Amazon Web Services, Inc. or its Affiliates.
3
AWS Black Belt Online Seminar とは
「サービス別」「ソリューション別」「業種別」のそれぞれのテーマに分かれて、アマゾ
ン ウェブ サービス ジャパン株式会社が主催するオンラインセミナーシリーズです。
質問を投げることができます!
• 書き込んだ質問は、主催者にしか⾒えません
• 今後のロードマップに関するご質問は
お答えできませんのでご了承下さい
Twitter ハッシュタグは以下をご利⽤ください
#awsblackbelt
① 吹き出しをクリック
② 質問を⼊⼒
③ Sendをクリック
© 2020, Amazon Web Services, Inc. or its Affiliates.
4
内容についての注意点
• 本資料では2020年7⽉22⽇時点のサービス内容および価格についてご説明しています。最新の
情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に
相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。⽇本居住者のお客様には別途消費税をご請求させていただ
きます。
• AWS does not offer binding price quotes. AWS pricing is publicly available and is subject
to change in accordance with the AWS Customer Agreement available at
http://aws.amazon.com/agreement/. Any pricing information included in this document
is provided only as an estimate of usage charges for AWS services based on certain
information that you have provided. Monthly charges will be based on your actual use of
AWS services, and may vary from the estimates provided.
© 2020, Amazon Web Services, Inc. or its Affiliates.
5
本セミナーの概要
AWSアカウントに、IAMユーザーを作成しログインする代わりに、IDプロバイダー
(IdP) を使⽤しシングルサインオンすることができます。
これは、組織に独⾃のID基盤がある場合や、複数のAWSアカウントを使⽤している
場合に便利です。
このようなシングルサインオンの構成には、AWS Single Sign-On(SSO)や、Active
Directory Federation Services(ADFS)、外部サービスとの連携など、複数のデザイ
ンパターンがあります。
運⽤をふまえながらシングルサインオンを構成する勘所を解説します。
© 2020, Amazon Web Services, Inc. or its Affiliates.
6
Agenda
1. マルチアカウントのアイデンティティ管理
2. AWSにおけるシングルサインオン
3. AWS Single Sign-On(SSO)
4. シングルサインオン設計のポイント
5. シングルサインオン運⽤のポイント
6. まとめ
© 2020, Amazon Web Services, Inc. or its Affiliates.
7
マルチアカウントの
アイデンティティ管理
© 2020, Amazon Web Services, Inc. or its Affiliates.
8
マルチアカウントではアイデンティティ管理が課題に
AWSアカウント毎にAWS IAMユー
ザー名/パスワードを覚える必要が
ある
AWSアカウント毎にAWS IAMユー
ザーの管理が必要
Account1
AWSUser001
管理者
利⽤者
Account2
AWSUser001
Account3
AWSUser001
© 2020, Amazon Web Services, Inc. or its Affiliates.
9
統合されたIDを利⽤することで利⽤と管理がシンプルに
1つのIDで複数のAWSアカウント
を利⽤できるため利便性が向上
IDが1つに統合されたため管理が
シンプルに
統合ID
管理者
利⽤者
example.jp
AWSUser001
© 2020, Amazon Web Services, Inc. or its Affiliates.
10
Terminology
シングルサインオン
⼀度のユーザ認証処理によって、独⽴した複数のソフトウェアシステム上のリソー
スが利⽤可能になる特性
IDフェデレーション
シングルサインオンを実現する⽅式のひとつ、ひとつの組織(管理ドメイン)を超
えて他の管理ドメインのサービスにもログインできるようにする処理のこと、
SAMLなどの標準技術を適⽤して実現することが多い
© 2020, Amazon Web Services, Inc. or its Affiliates.
11
IDフェデレーションはパスポートのようなもの
事前に信頼(国交)が存在
A国居住者
A国政府 B国政府
1. パスポート申請
3. パスポート発⾏
2. 申請資格を確認
- 犯罪歴の有無など
パスポート
4. パスポートを持って⼊国審査
B国管理局
5. パスポートを確認
- 信頼している国のものか
- 顔写真
- 有効期限
- ブラックリストの有無
6. ⼊国 7. 就労
8. パスポートやビザを確認
- 就労してよい⼈か
B国のとある⼯場
A国 B国
© 2020, Amazon Web Services, Inc. or its Affiliates.
12
IDフェデレーションはパスポートのようなもの
IDプロバイダー(IdP) サービスプロバイダー(SP)
事前に信頼関係を構成
A社の社員
A社のIdP B社のSP
ユーザーを認証
3.アサーションを発⾏
2. アサーション
発⾏条件の確認
アサーション
4.アサーションを提⽰
B社のSAML
Endpoint
5. アサーションを確認
- 信頼しているIdPのものか
- IdPの署名確認
- 有効期限
6. サインイン 7. サービスアクセス
8. アサーションを確認
- どのサービスにアクセスできるか
- どのような権限があるか
B社のとあるサービス
© 2020, Amazon Web Services, Inc. or its Affiliates.
13
AWSにおけるシングルサインオン
© 2020, Amazon Web Services, Inc. or its Affiliates.
14
AWS Cloud
AWSアカウントにおけるシングルサインオン
• SAMLやOIDCを⽤いたIDフェデレーションをサポート
• 外部のアイデンティティに、IAMロールのセッションを⽤いてAWSリソースへの
アクセスを可能とする
IDプロバイダー(IdP)
AWS Cloud
AWS Cloud
サービスプロバイダー(SP)
事前の信頼関係
認証
ロールの引き受け
IAMロール
ユーザー
(外部のアイデンティティ)
© 2020, Amazon Web Services, Inc. or its Affiliates.
15
IDフェデレーション with SAML
AWS マネジメントコンソール
SAML ⽤の AWS
サインインエンド
ポイント
ユーザーがポータルサイト
をブラウジングする
ユーザーを
認証する
認証応答として
SAMLアサーショ
ンを受信する
クライアントを
コンソールに
リダイレクトする
1
2
3
4
6
5
企業データセンター AWS Cloud (サービスプロバイダー)
ポータルサイト/
IDプロバイダー
(IdP)
アイデンティティ
ストア
属性情報に基づいて
ロールの⼀時セキュリ
ティ認証情報を⽣成
SAMLアサーションをポスト
ユーザー
© 2020, Amazon Web Services, Inc. or its Affiliates.
16
IDフェデレーションの構成に必要なタスク
アイデンティティストア
• IDプロバイダー(IdP)向け被参照設定(サービスアカウントの作成など)
IDプロバイダー(IdP)
• アイデンティティストアの参照設定
• メタデータドキュメントのエクスポート
• 認証レスポンスの SAML アサーションを設定
AWSアカウント
• IAM IDプロバイダーの設定( AWS アカウントと IdP の間の「信頼」の確⽴)
• フェデレーテッドユーザー向けロールの作成
© 2020, Amazon Web Services, Inc. or its Affiliates.
17
IAM IDプロバイダーの設定
IDプロバイダー(IdP)からエクスポートし
たメタデータドキュメントを指定
© 2020, Amazon Web Services, Inc. or its Affiliates.
18
フェデレーテッドユーザー向けロールの作成
信頼ポリシーのPrincipalには、作成したIAM IDプロバイダーのARNを指定
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-
provider/PROVIDER-NAME"},
"Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}}
}
}
SAML 2.0 フェデレーティッドユーザーが AWS マネジメントコンソールにアクセス可能にする
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html
© 2020, Amazon Web Services, Inc. or its Affiliates.
19
認証レスポンスのSAMLアサーションを設定
IDプロバイダー(IdP)からサービスプロバイダー(AWS)に連携する情報(クレー
ム)を設定
クレーム 必須 概要
Subject and NameID 〇 SAMLの仕様で定義されたIdPとSPの間で共有されるユーザー識別子
AudienceRestriction and Audience
〇
SAMLの仕様で定義されたセキュリティ上の理由から含める必要のある要
素、https://signin.aws.amazon.com/saml また
は urn:amazon:webservices を指定
SAML Role Attribute 〇 マッピングするロールを指定する要素
SAML RoleSessionName Attribute
〇
AWS マネジメントコンソールやCloudTrail Logでユーザー情報を表示、
記録する際に使用される要素、トレーサビリティの観点で重要(後述)
SAML SessionDuration Attribute フェデレーテッドユーザーが AWS マネジメントコンソール にアクセスで
きる時間を指定する 要素、値は900 秒 (15 分) から 43200 秒 (12 時間)
SAML PrincipalTag Attribute 属性ベースのアクセス制御(ABAC)に利用可能な属性をセッションタグ
として連携する要素(後述)
認証レスポンスの SAML アサーションを設定する
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html
© 2020, Amazon Web Services, Inc. or its Affiliates.
20
AWS Single Sign-On(SSO)
© 2020, Amazon Web Services, Inc. or its Affiliates.
21
IDフェデレーションをもっと簡単に
AWS アカウントとビジネスアプリケーションへの
シングルサインオン (SSO) を提供するクラウドサービス
複数 AWS アカウント
のコンソールに
SSO アクセス
簡単に利⽤を
始められる
ビジネス
アプリケーションに
SSO アクセス
AWS Single Sign-On (SSO)
AWS Organizationsと
統合されたアクセス権
限の⼀元管理
© 2020, Amazon Web Services, Inc. or its Affiliates.
22
AWS SSO ユーザーポータル
ユーザーポータルを通じて
AWSアカウントとクラウド
アプリケーションへのアク
セスを提供
マネジメントコンソールに
加えて CLI/API によるアク
セスのためのオプションを
提供
© 2020, Amazon Web Services, Inc. or its Affiliates.
23
AWS SSO 導⼊に必要なタスク
アイデンティティストア
• IDプロバイダー(IdP)向け被参照設定(サービスアカウントの作成)
IDプロバイダー(IdP)
• アイデンティティストアの参照設定
• アクセス権限セットの設定
AWSアカウント(AWS Organizations メンバーアカウント)
なし
IDフェデレーションの構成に必要な
その他のタスクはAWS SSOが
お客様に代わってプロビジョニング
© 2020, Amazon Web Services, Inc. or its Affiliates.
24
アクセス権限セット
AWS Organizations マスターアカウントから、ユーザー毎のアクセス権限を⼀元管
理するAWS Single Sign-On(SSO)ならではの仕組み
AWS
管理
AWS
管理
AWS
管理
AWS
管理
カスタム
ポリシー
ポリシー
アクセス権限
セット 1
アクセス権限
セット 2
AWS SSO
ユーザーポータル
ユーザー A と
B に割り当て
ユーザー B に
のみ割り当て
アクセス権限
セット 1 のロール
アクセス権限
セット 2 のロール
ユーザー A
ユーザー B
ロールが 1 つのみ表
⽰される
両⽅のロールが表⽰
されるが、⼀度に選択
できるのは 1 つのみ
管理者
© 2020, Amazon Web Services, Inc. or its Affiliates.
25
メンバーアカウントへのプロビジョニングの仕組み
AWS Cloud(メンバーアカウント)AWS Cloud(マスターアカウント)
AWSReservedSSO_XXX
SAML ⽤の AWS
サインインエン
ドポイント
AWS Single Sign-On
AWSReservedSSO_YYY
フェデレーテッドユーザー向けロール
アクセス権限セットに
基づくロールの構成
IAM IDプロバイダー
の構成
Browser Interface
アクセス権限
セットの設定
※AWS OrganizationsマスターアカウントでのAWS Single Sign-On(SSO)利⽤開始時に⾃動で作成される
AWSServiceRoleForSSO(※)
管理者
© 2020, Amazon Web Services, Inc. or its Affiliates.
26
AWS Organizations 組織外のアカウントへの対応
AWS SSO アプリケーションカタログから「External AWS Account」を選択し構成
することで、⾮メンバーのAWSアカウントへのIDフェデレーションを構成可能
© 2020, Amazon Web Services, Inc. or its Affiliates.
27
AWS Organizations 組織外のアカウントへの対応 続き
⾮メンバーのAWSアカウントへのプロビジョニングは⼿動で⾏う必要がある
© 2020, Amazon Web Services, Inc. or its Affiliates.
28
AWS CLIv2との統合
$ aws sso login --profile SecurityAudit-123456789012
Attempting to automatically open the SSO authorization page in
your default browser.
If the browser does not open or you wish to use a different
device to authorize this request, open the following URL:
https://device.sso.us-east-1.amazonaws.com/
Then enter the code:
ABCD-EFGH
© 2020, Amazon Web Services, Inc. or its Affiliates.
29
AWS CLIv2との統合
$ aws sso login --profile SecurityAudit-123456789012
Attempting to automatically open the SSO authorization page in
your default browser.
If the browser does not open or you wish to use a different
device to authorize this request, open the following URL:
https://device.sso.us-east-1.amazonaws.com/
Then enter the code:
ABCD-EFGH
© 2020, Amazon Web Services, Inc. or its Affiliates.
30
AWS CLIv2との統合
$ aws sso login --profile SecurityAudit-123456789012
Attempting to automatically open the SSO authorization page in
your default browser.
If the browser does not open or you wish to use a different
device to authorize this request, open the following URL:
https://device.sso.us-east-1.amazonaws.com/
Then enter the code:
ABCD-EFGH
Successully logged into Start URL: https://[YOUR APP
URL].awsapps.com/start
$ aws s3 ls --profile SecurityAudit-123456789012
(snip)
$ aws sso logout --profile SecurityAudit-123456789012
© 2020, Amazon Web Services, Inc. or its Affiliates.
31
シングルサインオン設計のポイント
© 2020, Amazon Web Services, Inc. or its Affiliates.
32
シングルサインオン設計のよくある論点
• IDプロバイダー(IdP)の選択
• アイデンティティストアの選択
• 複雑な要件への対応
© 2020, Amazon Web Services, Inc. or its Affiliates.
33
IDプロバイダー(IdP)の選択
© 2020, Amazon Web Services, Inc. or its Affiliates.
34
どのIDプロバイダー(IdP)を選ぶか?
導⼊や運⽤のしやすさを軸にした選定ロジックフローの例
Organizations
マスターアカウント
管理者である
組織のポリシーで
外部サービスの
利⽤が可能
AWS Single Sign-On
いいえ いいえ
AWS利⽤の観点では最も
シンプルなソリューション
マネージドサービスで完結
はい はい
Active Directory
Federation Service
など
お客様のAWS環境内で完結
© 2020, Amazon Web Services, Inc. or its Affiliates.
35
IDプロバイダー(IdP)⽐較(2020年7⽉現在)
AWS Single Sign-On(SSO)
サードパーティ
サービス
Active Directory
Federation Service
(ADFS)
AWS
利⽤サービス
AWS Single-Sign-On(SSO) − Amazon EC2
構成の
ポイント
マネージドサービスのみで完結
(AWS提供)
マネージドサービスのみで完結
(サードパーティを含む)
お客様のAWS環境内で完結
管理運⽤の
シンプルさ
AWSアカウントとの連携を前提とした
シンプルな設計、⾮技術者にも管理しやすい
サービス依存
多様な要件に対応可能でパラメータが複雑
管理者にはプロトコルやADFSについて
⼀定の前提知識を求める
メンバーアカウ
ントへのプロビ
ジョニング
AWS Organizationsマスターアカウントにて
IAM IDプロバイダーとロールを⼀元管理
メンバーアカウントにてIAM IDプロバイダー
とロールの⼿動設定が必要
メンバーアカウントにてIAM IDプロバイダー
とロールの⼿動設定が必要
可⽤性の考慮
不要
(マネージドサービス)
不要
(マネージドサービス)
要
(お客様⾃⾝で冗⻑化)
AWS CLIv2
との統合
可 不可 不可
次頁につづく
© 2020, Amazon Web Services, Inc. or its Affiliates.
36
IDプロバイダー(IdP)⽐較 続き(2020年7⽉現在)
AWS Single-Sign-On(SSO)
サードパーティ
サービス
Active Directory
Federation Service
(ADFS)
セッションタグ 不可 サービス依存※ 可
Windows
統合認証
不可
サービス依存
(基本的にはサードパーティ製コネクタ
のクライアントへの導⼊が必要)
可
ポータルサイト
の所在
インターネット インターネット Amazon VPC
ポータルサイト
への接続元IPア
ドレス制限
不可 サービス依存 可
ADからIdPへの
認証情報
取り込み
不要 必要とする場合がある 不要
導⼊に際しての
ADでの作業
サービスアカウントの作成
サービス依存
(モジュールの導⼊を必要とする場合がある)
サービスアカウントの作成
※セッションタグをサポートするSAML ソリューションプロバイダーは以下を参照
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html
© 2020, Amazon Web Services, Inc. or its Affiliates.
37
アイデンティティストアの選択
© 2020, Amazon Web Services, Inc. or its Affiliates.
38
どのアイデンティティストアを参照するか?
導⼊や運⽤のしやすさを軸にした選定ロジックフローの例
組織のID基盤と
連携した外部ID
プロバイダーが存在し、
管理権限がある
いいえ
はい
IdPのローカルアイデン
ティティストアを利⽤
構成するIdP専⽤
の少数のID基盤を
運⽤したい
いいえ
いいえ
はい はい
外部IDプロバイダーを
利⽤
Active Directoryを
構成し参照
Azure AD
など
AWS
Directory Service
Active
Directory
AWS Single Sign-On
© 2020, Amazon Web Services, Inc. or its Affiliates.
39
外部 ID プロバイダー
たとえば、Azure ADとAWS SSOの場合
1. 外部 ID プロバイダーと IDプロバイダー (IdP) の
間でフェデレーションメタデータを交換するための
設定を⾏う
2. AWS SSO の ID ソースで外部 ID プロバイダを指定し、
ID プロバイダーメタデータセクションで フェデレー
ションメタデータとして、ダウンロードした XML
ファイルを参照して選択
ユーザー属性
のマッピング
SCIM
Azure AD
AWS
Single Sign-On
外部IDプロバイダー
/SCIMクライアント
IDプロバイダー
/SCIMサーバー
など(※) など
※AWS Single Sign-On(SSO)がサポートする
テスト済みの外部IDプロバイダーはOktaとAzure ADのみ
SCIM
(System for Cross-Domains Identity Management)
異なるドメイン/事業者間のアカウントプロビジョニ
ングを実現する仕組み
© 2020, Amazon Web Services, Inc. or its Affiliates.
40
IdPのローカルアイデンティティストア
たとえば、AWS SSOの場合
1. IDソースにAWS SSOディレクトリを選択
2. AWS SSOのインターフェイスでユーザーを管理
注)運⽤上の利便性が⾼いものの、組織のアイ
デンティティを⼀元管理する観点からは推奨さ
れない点に留意が必要
など
AWS Single Sign-On
ユーザーやグループ
の登録管理
© 2020, Amazon Web Services, Inc. or its Affiliates.
41
Active Directoryを構成し参照
適材適所の構成パターンを選択、あるいは組み合わせて構成
オンプレミス AD
を参照
AWS環境に独⽴した
ADを構築
オンプレミス AD
との信頼関係
読み取り専⽤の
レプリカ(RODC)
AD 配置
AWS
利⽤サービス
AD Connector (ADC)
• Microsoft AD (MSAD)
• Simple AD※
Microsoft AD (MSAD) EC2(Windows Server AMI)
構成の説明
オンプレミスに展開されたドメ
インコントローラーに対して
ADC 経由で接続
MSAD、Simple AD を使⽤
MSAD とオンプレミス AD ドメ
インとの双⽅向の推移的信頼関
係
読み取り専⽤のレプリカドメイ
ンコントローラー(RODC)を構
築
ポイント
構成はシンプルになるが、オン
プレミスへの問い合わせが発⽣
オンプレミスと独⽴したドメイ
ンとして運⽤
オンプレミスと独⽴したドメイ
ンとなるが、信頼関係の構築に
よりオンプレミスドメインを認
証に利⽤することが可能
認証処理がRODCで完結するた
め、オンプレミスの障害などか
ら影響を分離可能
※AWS Single Sign-On(SSO)は、Samba4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。
ドメイン
コントローラー
AD
Connector
オンプレミス
Microsoft AD
or
Simple AD
オンプレミス
ドメイン
コントローラー
Microsoft AD
オンプレミス
ドメイン
コントローラー
RODC on EC2
オンプレミス
© 2020, Amazon Web Services, Inc. or its Affiliates.
42
アイデンティティストア⽐較(2020年7⽉現在)
外部IDプロバイダー
IdPのローカル
アイデンティティストア
Active Directory
AWS
利⽤サービス
AWS Single Sign-On(SSO)
(IdPとして⽤いる場合)
AWS Single Sign-On(SSO)
(IdPとして⽤いる場合)
AWS Directory Service あるいはEC2
ポイント マネージドサービスのみで完結 マネージドサービスのみで完結 お客様のAWS環境内で完結
IdPとの
ユーザー属性
マッピング
SCIM ⼀般にはIdP内でユーザー/グループを管理 Active Directoryの属性
可⽤性の考慮
不要
(マネージドサービス)
不要
(マネージドサービス)
要
(お客様⾃⾝で冗⻑化)
Sign-in URL
外部IDプロバイダー
https://<外部IDプロバイダー Endpoint>
AWS SSOの場合
https://YOUR-DOMAIN.awsapps.com/start/
Third Party Endpointの場合
https://<Third Party Endpoint>
AWS SSOの場合
https://YOUR-DOMAIN.awsapps.com/start/
Third Party Endpointの場合
https://<Third Party Endpoint>
特記事項
AWS Single Sign-On(SSO)がサポートする
テスト済みの外部IDプロバイダーは
OktaとAzure ADのみ(※)
独⽴したアイデンティを持つことになり、
⼀元管理上の課題が⽣じる
−
※Supported Identity Providers
https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html
© 2020, Amazon Web Services, Inc. or its Affiliates.
43
多様な要件への対応
© 2020, Amazon Web Services, Inc. or its Affiliates.
44
IDフェデレーションは多様な組織の要件に対応可能
• IDフェデレーションのコンポーネントは疎結合
• 各々を組み合わせることで多様な組織の要件に対応可能
IDプロバイダー
(IdP)アイデンティティストア
サービスプロバイダー
(SP)
m n o: :
© 2020, Amazon Web Services, Inc. or its Affiliates.
45
部署B管理
部署A管理
管理部⾨管理
たとえば、IDプロバイダー(IdP)の分割
適⽤シーン例
• 部署毎にIdPの管理を分割することで、部署毎の運⽤の柔軟性を獲得
• アイデンティティは組織で共通のものを利⽤
サービスプロバイダー
(SP)
認証
認証
フェデレーション
フェデレーション
IDプロバイダー
(IdP)
IDプロバイダー
(IdP)
アイデンティティストア
© 2020, Amazon Web Services, Inc. or its Affiliates.
46
サードパーティ管理 事業部⾨管理
管理部⾨管理
たとえば、アイデンティティストアとIDプロバイダーの分割
適⽤シーン例
• ⼈事的な職責と離れて権限を付与、たとえば組織のIDを持たないユーザー(パー
トナーなどのサードパーティ)に事業部⾨で権限を付与
アイデンティティストア
従業員
IDプロバイダー
(IdP)
IDプロバイダー
(IdP)アイデンティティストア
サードパーティ
認証
認証
フェデレーション
フェデレーション
サービスプロバイダー
(SP)
AWSアクセスは
IdPで統制
© 2020, Amazon Web Services, Inc. or its Affiliates.
47
シングルサインオン運⽤のポイント
© 2020, Amazon Web Services, Inc. or its Affiliates.
48
シングルサインオン運⽤のよくある論点
操作ログからフェデレーション前の
アイデンティティを一意に識別可能か?
操作ログの追跡は
容易かつわかりやすいか?
AWSアカウント数とともに増加する
ロールの統制をどうすればよいのか?
組織変更や兼務など、
多様なニーズにどう対応するか?
トレーサビリティ ロールと権限の管理
© 2020, Amazon Web Services, Inc. or its Affiliates.
49
トレーサビリティ
© 2020, Amazon Web Services, Inc. or its Affiliates.
50
AWS CloudTrailはフェデレーション前のIDを表⽰
AWS CloudTrail マネジメントコンソールでの確認
IDプロバイダー (IdP)から連携された
フェデレーション前のIDを表⽰
© 2020, Amazon Web Services, Inc. or its Affiliates.
51
フェデレーション前のIDを取得、追跡するメカニズム
AWS CloudTrailログはRoleSessionNameをユーザー名として取り扱う
• IDプロバイダー(IdP)からSAMLアサーションにて連携される属性のひとつ
ここにフェデレーション前のIDを含めることで追跡が容易になる
• スイッチロールにおいてトレーサビリティを簡単に実現する仕組み (※)と同⼀
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXXXXXXXEXAMPLE: RoleSessionName ",
"arn": "arn:aws:sts::123456789012:assumed-role/role-name/RoleSessionName ",
"accountId": " 123456789012",
"accessKeyId": "ASIAXXXXXXXEXAMPLE",
(略)
CloudTrailログの例
※IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定
https://aws.amazon.com/jp/about-aws/whats-new/2020/04/now-easily-
identify-the-identity-responsible-for-the-actions-performed-using-iam-roles/
© 2020, Amazon Web Services, Inc. or its Affiliates.
52
ロールと権限の管理
© 2020, Amazon Web Services, Inc. or its Affiliates.
53
IDフェデレーションで変わる運⽤の論点
• AWSアカウント毎のアイデンティティ管理は不要となるが、代わりにフェデレー
テッドユーザー向けロールの管理が必要(AWS SSOではアクセス権限セット)
• AWSアカウント数とともに管理しなければいけないロール数も増加
• ロールベースのアクセスコントロール(RBAC)では職務毎にポリシーとロール
が増加しがち
組織変更や兼務といった多様な権限のニーズに対応しながら、ロールやポリシーの
増加という、統制の妨げとなる複雑性をどのように軽減ないし解消していくか?
新しい論点
© 2020, Amazon Web Services, Inc. or its Affiliates.
54
属性ベースのアクセスコントロール(ABAC)モデル
属性(Attribute)を利⽤して組織と共にスケールする権限ルールを実現する考え⽅、
上⼿く適⽤することでポリシーやロールの数を削減可能
Project = Blue
Project = Green
企業ディレクトリ上の
従業員の ID情報
プロジェクトリソース
(システムリソース)
ロールタグに基づく
IAMロールと権限
Project = Red
IAMユーザー
同⼀のポリシー
同⼀のロール
© 2020, Amazon Web Services, Inc. or its Affiliates.
55
AWS 環境における属性(Attribute)とは
AWSにおける属性は、キーあるいはキーと値のペアから構成されるAWS 上のタグ
• プリンシパルタグ:アクションの主体となるユーザーやロールのタグ
• リソースタグ:アクションの操作対象となるリソースのタグ
UserID = Bob
Team = Engineering
Project = Integration
Project = Integration
Env = Development
CreatedBy = Bob
属性の例
© 2020, Amazon Web Services, Inc. or its Affiliates.
56
プリンシパルタグ/リソースタグを⽤いたABACポリシーの例
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
(途中省略)
"secretsmanager:UpdateSecret" ],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/project": "${aws:PrincipalTag/project}"
}
} } ] }
AWS Secrets Manager のポリシーの例
プリンシパルタグとリソースタグのProject
の値が等しいリソースのみ操作が可能
© 2020, Amazon Web Services, Inc. or its Affiliates.
57
セッションタグ:ABACのIDフェデレーションへの拡張
フェデレーテッドユーザー向けロールのセッションにプリンシパルタグを付与する
仕組み、 単⼀のロールに対し、SAMLアサーションを通じてユーザー毎/セッション
毎に異なるタグ付けが可能
© 2020, Amazon Web Services, Inc. or its Affiliates.
58
SAML利⽤時のセッションタグの受け渡し
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:project">
< AttributeValue >Automation<AttributeValue>
</ Attribute>
<Attribute
Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:jobfunction">
< AttributeValue >SystemsEngineer<AttributeValue>
</ Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
< AttributeValue >project<AttributeValue>
</ Attribute>
IDプロバイダー(IdP) から AWS に送信するSAML アサーションの属性例
© 2020, Amazon Web Services, Inc. or its Affiliates.
59
属性ベースのアクセスコントロール(ABAC)適⽤のポイント
• ロールベースのアクセスコントロール(RBAC)との使い分けや併⽤を整理して
適⽤する(= ⼆者択⼀ではなく適材適所)
たとえば、
• ⼈事的な職責と離れて短期間で変わる権限:ABAC
• ⼈事的な職責と⼀致する権限:RBAC
• 属性(Attribute)のないプリンシパル/リソースの考慮
• デフォルトでは権限を付与しないFail Safeのポリシー設計が望ましい
• IAMポリシーによる強制(※)によってタグ付けの抜けや漏れを防⽌できる
• タグやポリシーはシンプルさを重視し運⽤の煩雑化を避ける
※IAM: Create New Users Only With Specific Tags
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-new-user-tag.html
© 2020, Amazon Web Services, Inc. or its Affiliates.
60
まとめ
© 2020, Amazon Web Services, Inc. or its Affiliates.
61
ふりかえり
シングルサインオンの構成には、 AWS Single Sign-On(SSO)や、Active Directory
Federation Services(ADFS)、 外部サービスとの連携など、複数のデザインパター
ンがあります。
運⽤の違いをふまえながらシングルサインオンを構成する勘所を解説しました。
シングルサインオンを上⼿く適⽤するとアイデンティティの運⽤が簡素化されます。
導⼊後の統制のしやすさ、運⽤のしやすさを⼤切な指標として設計してください。
© 2020, Amazon Web Services, Inc. or its Affiliates.
62
まとめ
• シングルサインオンは煩雑なアイデンティティ管理を簡素化
• AWSではIDフェデレーションによってシングルサインオンを実現
• 適材適所の選択&組み合わせにより、多様な組織の要件に対応可能
• AWS Single Sign-OnやABACはシングルサインオンの運⽤をよりシンプルにする
• シングルサインオンにおいてもトレーサビリティは維持される
• 導⼊のしやすさ、運⽤のしやすさは最も⼤切な設計上の指標のひとつ
© 2020, Amazon Web Services, Inc. or its Affiliates.
63
AWS 公式 Webinar
https://amzn.to/JPWebinar
過去資料
https://amzn.to/JPArchive
Thank you!

More Related Content

What's hot

AWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate ManagerAWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate ManagerAmazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep diveAmazon Web Services Japan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...Amazon Web Services Japan
 
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続Amazon Web Services Japan
 
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...Amazon Web Services Japan
 
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage GatewayAWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage GatewayAmazon Web Services Japan
 
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS GlueAmazon Web Services Japan
 
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)Amazon Web Services Japan
 
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要Amazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 ResolverAmazon Web Services Japan
 
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems ManagerAmazon Web Services Japan
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipelineAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon KinesisAWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon KinesisAmazon Web Services Japan
 
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...Amazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAmazon Web Services Japan
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatchAmazon Web Services Japan
 
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)Amazon Web Services Japan
 
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBSAmazon Web Services Japan
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / GlacierAmazon Web Services Japan
 

What's hot (20)

AWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate ManagerAWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate Manager
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
 
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
 
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
 
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
 
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage GatewayAWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
 
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
 
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
 
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
 
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
 
AWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon KinesisAWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon Kinesis
 
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
 
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
 
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
 
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
 

Similar to 20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用

AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfHayato Kiriyama
 
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜Hiroki Uchida
 
20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit ManagerAmazon Web Services Japan
 
20200728 AWS Black Belt Online Seminar What's New in Serverless
20200728 AWS Black Belt Online Seminar What's New in Serverless20200728 AWS Black Belt Online Seminar What's New in Serverless
20200728 AWS Black Belt Online Seminar What's New in ServerlessAmazon Web Services Japan
 
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発Yuki Ando
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点Tomohiro Nakashima
 
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介Takanori Ohba
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨Amazon Web Services Japan
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214Hayato Kiriyama
 
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!政雄 金森
 
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)Amazon Web Services Japan
 
Scale Your Business without Servers
Scale Your Business without ServersScale Your Business without Servers
Scale Your Business without ServersKeisuke Nishitani
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield AdvancedAmazon Web Services Japan
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected FrameworkAWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected FrameworkAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...Amazon Web Services Japan
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonightAmazon Web Services Japan
 

Similar to 20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用 (20)

AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
 
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
 
20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager
 
20200728 AWS Black Belt Online Seminar What's New in Serverless
20200728 AWS Black Belt Online Seminar What's New in Serverless20200728 AWS Black Belt Online Seminar What's New in Serverless
20200728 AWS Black Belt Online Seminar What's New in Serverless
 
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
2000年代SaaS on AWS
2000年代SaaS on AWS2000年代SaaS on AWS
2000年代SaaS on AWS
 
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
 
Awsについて
AwsについてAwsについて
Awsについて
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214
 
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
 
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
 
Scale Your Business without Servers
Scale Your Business without ServersScale Your Business without Servers
Scale Your Business without Servers
 
Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
 
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected FrameworkAWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
 
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
 

More from Amazon Web Services Japan

202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)Amazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFSAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device DefenderAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現Amazon Web Services Japan
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したことAmazon Web Services Japan
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdfAmazon Web Services Japan
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介Amazon Web Services Japan
 
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon Web Services Japan
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチAmazon Web Services Japan
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介Amazon Web Services Japan
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer ProfilesAmazon Web Services Japan
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Web Services Japan
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介Amazon Web Services Japan
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介Amazon Web Services Japan
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...Amazon Web Services Japan
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピAmazon Web Services Japan
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operationsAmazon Web Services Japan
 

More from Amazon Web Services Japan (20)

202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
 
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
 

Recently uploaded

研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計atsushi061452
 
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521Satoshi Makita
 
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑Akihiro Kadohata
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)keikoitakurag
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptxssuserbefd24
 
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員Sadaomi Nishi
 
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )iwashiira2ctf
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdfAyachika Kitazaki
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一瑛一 西口
 
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayersToru Tamaki
 
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose EstimationToru Tamaki
 

Recently uploaded (11)

研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
 
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
 
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
 
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
 
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
 
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
 
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
 

20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用

  • 1. © 2020, Amazon Web Services, Inc. or its Affiliates. 1 AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive Security Solutions Architect 中島 智広 2020/07/22 AWSアカウント シングルサインオンの設計と運用 ソリューションカットシリーズ [AWS Black Belt Online Seminar]
  • 2. © 2020, Amazon Web Services, Inc. or its Affiliates. 2 ⾃⼰紹介 中島 智広(Tomohiro Nakashima) AWS Security Solutions Architect お客様のセキュリティの取り組みを AWSアーキテクチャの視点からご⽀援 好きなAWSサービス AWS Single Sign-On(SSO)
  • 3. © 2020, Amazon Web Services, Inc. or its Affiliates. 3 AWS Black Belt Online Seminar とは 「サービス別」「ソリューション別」「業種別」のそれぞれのテーマに分かれて、アマゾ ン ウェブ サービス ジャパン株式会社が主催するオンラインセミナーシリーズです。 質問を投げることができます! • 書き込んだ質問は、主催者にしか⾒えません • 今後のロードマップに関するご質問は お答えできませんのでご了承下さい Twitter ハッシュタグは以下をご利⽤ください #awsblackbelt ① 吹き出しをクリック ② 質問を⼊⼒ ③ Sendをクリック
  • 4. © 2020, Amazon Web Services, Inc. or its Affiliates. 4 内容についての注意点 • 本資料では2020年7⽉22⽇時点のサービス内容および価格についてご説明しています。最新の 情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に 相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。⽇本居住者のお客様には別途消費税をご請求させていただ きます。 • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
  • 5. © 2020, Amazon Web Services, Inc. or its Affiliates. 5 本セミナーの概要 AWSアカウントに、IAMユーザーを作成しログインする代わりに、IDプロバイダー (IdP) を使⽤しシングルサインオンすることができます。 これは、組織に独⾃のID基盤がある場合や、複数のAWSアカウントを使⽤している 場合に便利です。 このようなシングルサインオンの構成には、AWS Single Sign-On(SSO)や、Active Directory Federation Services(ADFS)、外部サービスとの連携など、複数のデザイ ンパターンがあります。 運⽤をふまえながらシングルサインオンを構成する勘所を解説します。
  • 6. © 2020, Amazon Web Services, Inc. or its Affiliates. 6 Agenda 1. マルチアカウントのアイデンティティ管理 2. AWSにおけるシングルサインオン 3. AWS Single Sign-On(SSO) 4. シングルサインオン設計のポイント 5. シングルサインオン運⽤のポイント 6. まとめ
  • 7. © 2020, Amazon Web Services, Inc. or its Affiliates. 7 マルチアカウントの アイデンティティ管理
  • 8. © 2020, Amazon Web Services, Inc. or its Affiliates. 8 マルチアカウントではアイデンティティ管理が課題に AWSアカウント毎にAWS IAMユー ザー名/パスワードを覚える必要が ある AWSアカウント毎にAWS IAMユー ザーの管理が必要 Account1 AWSUser001 管理者 利⽤者 Account2 AWSUser001 Account3 AWSUser001
  • 9. © 2020, Amazon Web Services, Inc. or its Affiliates. 9 統合されたIDを利⽤することで利⽤と管理がシンプルに 1つのIDで複数のAWSアカウント を利⽤できるため利便性が向上 IDが1つに統合されたため管理が シンプルに 統合ID 管理者 利⽤者 example.jp AWSUser001
  • 10. © 2020, Amazon Web Services, Inc. or its Affiliates. 10 Terminology シングルサインオン ⼀度のユーザ認証処理によって、独⽴した複数のソフトウェアシステム上のリソー スが利⽤可能になる特性 IDフェデレーション シングルサインオンを実現する⽅式のひとつ、ひとつの組織(管理ドメイン)を超 えて他の管理ドメインのサービスにもログインできるようにする処理のこと、 SAMLなどの標準技術を適⽤して実現することが多い
  • 11. © 2020, Amazon Web Services, Inc. or its Affiliates. 11 IDフェデレーションはパスポートのようなもの 事前に信頼(国交)が存在 A国居住者 A国政府 B国政府 1. パスポート申請 3. パスポート発⾏ 2. 申請資格を確認 - 犯罪歴の有無など パスポート 4. パスポートを持って⼊国審査 B国管理局 5. パスポートを確認 - 信頼している国のものか - 顔写真 - 有効期限 - ブラックリストの有無 6. ⼊国 7. 就労 8. パスポートやビザを確認 - 就労してよい⼈か B国のとある⼯場 A国 B国
  • 12. © 2020, Amazon Web Services, Inc. or its Affiliates. 12 IDフェデレーションはパスポートのようなもの IDプロバイダー(IdP) サービスプロバイダー(SP) 事前に信頼関係を構成 A社の社員 A社のIdP B社のSP ユーザーを認証 3.アサーションを発⾏ 2. アサーション 発⾏条件の確認 アサーション 4.アサーションを提⽰ B社のSAML Endpoint 5. アサーションを確認 - 信頼しているIdPのものか - IdPの署名確認 - 有効期限 6. サインイン 7. サービスアクセス 8. アサーションを確認 - どのサービスにアクセスできるか - どのような権限があるか B社のとあるサービス
  • 13. © 2020, Amazon Web Services, Inc. or its Affiliates. 13 AWSにおけるシングルサインオン
  • 14. © 2020, Amazon Web Services, Inc. or its Affiliates. 14 AWS Cloud AWSアカウントにおけるシングルサインオン • SAMLやOIDCを⽤いたIDフェデレーションをサポート • 外部のアイデンティティに、IAMロールのセッションを⽤いてAWSリソースへの アクセスを可能とする IDプロバイダー(IdP) AWS Cloud AWS Cloud サービスプロバイダー(SP) 事前の信頼関係 認証 ロールの引き受け IAMロール ユーザー (外部のアイデンティティ)
  • 15. © 2020, Amazon Web Services, Inc. or its Affiliates. 15 IDフェデレーション with SAML AWS マネジメントコンソール SAML ⽤の AWS サインインエンド ポイント ユーザーがポータルサイト をブラウジングする ユーザーを 認証する 認証応答として SAMLアサーショ ンを受信する クライアントを コンソールに リダイレクトする 1 2 3 4 6 5 企業データセンター AWS Cloud (サービスプロバイダー) ポータルサイト/ IDプロバイダー (IdP) アイデンティティ ストア 属性情報に基づいて ロールの⼀時セキュリ ティ認証情報を⽣成 SAMLアサーションをポスト ユーザー
  • 16. © 2020, Amazon Web Services, Inc. or its Affiliates. 16 IDフェデレーションの構成に必要なタスク アイデンティティストア • IDプロバイダー(IdP)向け被参照設定(サービスアカウントの作成など) IDプロバイダー(IdP) • アイデンティティストアの参照設定 • メタデータドキュメントのエクスポート • 認証レスポンスの SAML アサーションを設定 AWSアカウント • IAM IDプロバイダーの設定( AWS アカウントと IdP の間の「信頼」の確⽴) • フェデレーテッドユーザー向けロールの作成
  • 17. © 2020, Amazon Web Services, Inc. or its Affiliates. 17 IAM IDプロバイダーの設定 IDプロバイダー(IdP)からエクスポートし たメタデータドキュメントを指定
  • 18. © 2020, Amazon Web Services, Inc. or its Affiliates. 18 フェデレーテッドユーザー向けロールの作成 信頼ポリシーのPrincipalには、作成したIAM IDプロバイダーのARNを指定 { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRoleWithSAML", "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml- provider/PROVIDER-NAME"}, "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}} } } SAML 2.0 フェデレーティッドユーザーが AWS マネジメントコンソールにアクセス可能にする https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html
  • 19. © 2020, Amazon Web Services, Inc. or its Affiliates. 19 認証レスポンスのSAMLアサーションを設定 IDプロバイダー(IdP)からサービスプロバイダー(AWS)に連携する情報(クレー ム)を設定 クレーム 必須 概要 Subject and NameID 〇 SAMLの仕様で定義されたIdPとSPの間で共有されるユーザー識別子 AudienceRestriction and Audience 〇 SAMLの仕様で定義されたセキュリティ上の理由から含める必要のある要 素、https://signin.aws.amazon.com/saml また は urn:amazon:webservices を指定 SAML Role Attribute 〇 マッピングするロールを指定する要素 SAML RoleSessionName Attribute 〇 AWS マネジメントコンソールやCloudTrail Logでユーザー情報を表示、 記録する際に使用される要素、トレーサビリティの観点で重要(後述) SAML SessionDuration Attribute フェデレーテッドユーザーが AWS マネジメントコンソール にアクセスで きる時間を指定する 要素、値は900 秒 (15 分) から 43200 秒 (12 時間) SAML PrincipalTag Attribute 属性ベースのアクセス制御(ABAC)に利用可能な属性をセッションタグ として連携する要素(後述) 認証レスポンスの SAML アサーションを設定する https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html
  • 20. © 2020, Amazon Web Services, Inc. or its Affiliates. 20 AWS Single Sign-On(SSO)
  • 21. © 2020, Amazon Web Services, Inc. or its Affiliates. 21 IDフェデレーションをもっと簡単に AWS アカウントとビジネスアプリケーションへの シングルサインオン (SSO) を提供するクラウドサービス 複数 AWS アカウント のコンソールに SSO アクセス 簡単に利⽤を 始められる ビジネス アプリケーションに SSO アクセス AWS Single Sign-On (SSO) AWS Organizationsと 統合されたアクセス権 限の⼀元管理
  • 22. © 2020, Amazon Web Services, Inc. or its Affiliates. 22 AWS SSO ユーザーポータル ユーザーポータルを通じて AWSアカウントとクラウド アプリケーションへのアク セスを提供 マネジメントコンソールに 加えて CLI/API によるアク セスのためのオプションを 提供
  • 23. © 2020, Amazon Web Services, Inc. or its Affiliates. 23 AWS SSO 導⼊に必要なタスク アイデンティティストア • IDプロバイダー(IdP)向け被参照設定(サービスアカウントの作成) IDプロバイダー(IdP) • アイデンティティストアの参照設定 • アクセス権限セットの設定 AWSアカウント(AWS Organizations メンバーアカウント) なし IDフェデレーションの構成に必要な その他のタスクはAWS SSOが お客様に代わってプロビジョニング
  • 24. © 2020, Amazon Web Services, Inc. or its Affiliates. 24 アクセス権限セット AWS Organizations マスターアカウントから、ユーザー毎のアクセス権限を⼀元管 理するAWS Single Sign-On(SSO)ならではの仕組み AWS 管理 AWS 管理 AWS 管理 AWS 管理 カスタム ポリシー ポリシー アクセス権限 セット 1 アクセス権限 セット 2 AWS SSO ユーザーポータル ユーザー A と B に割り当て ユーザー B に のみ割り当て アクセス権限 セット 1 のロール アクセス権限 セット 2 のロール ユーザー A ユーザー B ロールが 1 つのみ表 ⽰される 両⽅のロールが表⽰ されるが、⼀度に選択 できるのは 1 つのみ 管理者
  • 25. © 2020, Amazon Web Services, Inc. or its Affiliates. 25 メンバーアカウントへのプロビジョニングの仕組み AWS Cloud(メンバーアカウント)AWS Cloud(マスターアカウント) AWSReservedSSO_XXX SAML ⽤の AWS サインインエン ドポイント AWS Single Sign-On AWSReservedSSO_YYY フェデレーテッドユーザー向けロール アクセス権限セットに 基づくロールの構成 IAM IDプロバイダー の構成 Browser Interface アクセス権限 セットの設定 ※AWS OrganizationsマスターアカウントでのAWS Single Sign-On(SSO)利⽤開始時に⾃動で作成される AWSServiceRoleForSSO(※) 管理者
  • 26. © 2020, Amazon Web Services, Inc. or its Affiliates. 26 AWS Organizations 組織外のアカウントへの対応 AWS SSO アプリケーションカタログから「External AWS Account」を選択し構成 することで、⾮メンバーのAWSアカウントへのIDフェデレーションを構成可能
  • 27. © 2020, Amazon Web Services, Inc. or its Affiliates. 27 AWS Organizations 組織外のアカウントへの対応 続き ⾮メンバーのAWSアカウントへのプロビジョニングは⼿動で⾏う必要がある
  • 28. © 2020, Amazon Web Services, Inc. or its Affiliates. 28 AWS CLIv2との統合 $ aws sso login --profile SecurityAudit-123456789012 Attempting to automatically open the SSO authorization page in your default browser. If the browser does not open or you wish to use a different device to authorize this request, open the following URL: https://device.sso.us-east-1.amazonaws.com/ Then enter the code: ABCD-EFGH
  • 29. © 2020, Amazon Web Services, Inc. or its Affiliates. 29 AWS CLIv2との統合 $ aws sso login --profile SecurityAudit-123456789012 Attempting to automatically open the SSO authorization page in your default browser. If the browser does not open or you wish to use a different device to authorize this request, open the following URL: https://device.sso.us-east-1.amazonaws.com/ Then enter the code: ABCD-EFGH
  • 30. © 2020, Amazon Web Services, Inc. or its Affiliates. 30 AWS CLIv2との統合 $ aws sso login --profile SecurityAudit-123456789012 Attempting to automatically open the SSO authorization page in your default browser. If the browser does not open or you wish to use a different device to authorize this request, open the following URL: https://device.sso.us-east-1.amazonaws.com/ Then enter the code: ABCD-EFGH Successully logged into Start URL: https://[YOUR APP URL].awsapps.com/start $ aws s3 ls --profile SecurityAudit-123456789012 (snip) $ aws sso logout --profile SecurityAudit-123456789012
  • 31. © 2020, Amazon Web Services, Inc. or its Affiliates. 31 シングルサインオン設計のポイント
  • 32. © 2020, Amazon Web Services, Inc. or its Affiliates. 32 シングルサインオン設計のよくある論点 • IDプロバイダー(IdP)の選択 • アイデンティティストアの選択 • 複雑な要件への対応
  • 33. © 2020, Amazon Web Services, Inc. or its Affiliates. 33 IDプロバイダー(IdP)の選択
  • 34. © 2020, Amazon Web Services, Inc. or its Affiliates. 34 どのIDプロバイダー(IdP)を選ぶか? 導⼊や運⽤のしやすさを軸にした選定ロジックフローの例 Organizations マスターアカウント 管理者である 組織のポリシーで 外部サービスの 利⽤が可能 AWS Single Sign-On いいえ いいえ AWS利⽤の観点では最も シンプルなソリューション マネージドサービスで完結 はい はい Active Directory Federation Service など お客様のAWS環境内で完結
  • 35. © 2020, Amazon Web Services, Inc. or its Affiliates. 35 IDプロバイダー(IdP)⽐較(2020年7⽉現在) AWS Single Sign-On(SSO) サードパーティ サービス Active Directory Federation Service (ADFS) AWS 利⽤サービス AWS Single-Sign-On(SSO) − Amazon EC2 構成の ポイント マネージドサービスのみで完結 (AWS提供) マネージドサービスのみで完結 (サードパーティを含む) お客様のAWS環境内で完結 管理運⽤の シンプルさ AWSアカウントとの連携を前提とした シンプルな設計、⾮技術者にも管理しやすい サービス依存 多様な要件に対応可能でパラメータが複雑 管理者にはプロトコルやADFSについて ⼀定の前提知識を求める メンバーアカウ ントへのプロビ ジョニング AWS Organizationsマスターアカウントにて IAM IDプロバイダーとロールを⼀元管理 メンバーアカウントにてIAM IDプロバイダー とロールの⼿動設定が必要 メンバーアカウントにてIAM IDプロバイダー とロールの⼿動設定が必要 可⽤性の考慮 不要 (マネージドサービス) 不要 (マネージドサービス) 要 (お客様⾃⾝で冗⻑化) AWS CLIv2 との統合 可 不可 不可 次頁につづく
  • 36. © 2020, Amazon Web Services, Inc. or its Affiliates. 36 IDプロバイダー(IdP)⽐較 続き(2020年7⽉現在) AWS Single-Sign-On(SSO) サードパーティ サービス Active Directory Federation Service (ADFS) セッションタグ 不可 サービス依存※ 可 Windows 統合認証 不可 サービス依存 (基本的にはサードパーティ製コネクタ のクライアントへの導⼊が必要) 可 ポータルサイト の所在 インターネット インターネット Amazon VPC ポータルサイト への接続元IPア ドレス制限 不可 サービス依存 可 ADからIdPへの 認証情報 取り込み 不要 必要とする場合がある 不要 導⼊に際しての ADでの作業 サービスアカウントの作成 サービス依存 (モジュールの導⼊を必要とする場合がある) サービスアカウントの作成 ※セッションタグをサポートするSAML ソリューションプロバイダーは以下を参照 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html
  • 37. © 2020, Amazon Web Services, Inc. or its Affiliates. 37 アイデンティティストアの選択
  • 38. © 2020, Amazon Web Services, Inc. or its Affiliates. 38 どのアイデンティティストアを参照するか? 導⼊や運⽤のしやすさを軸にした選定ロジックフローの例 組織のID基盤と 連携した外部ID プロバイダーが存在し、 管理権限がある いいえ はい IdPのローカルアイデン ティティストアを利⽤ 構成するIdP専⽤ の少数のID基盤を 運⽤したい いいえ いいえ はい はい 外部IDプロバイダーを 利⽤ Active Directoryを 構成し参照 Azure AD など AWS Directory Service Active Directory AWS Single Sign-On
  • 39. © 2020, Amazon Web Services, Inc. or its Affiliates. 39 外部 ID プロバイダー たとえば、Azure ADとAWS SSOの場合 1. 外部 ID プロバイダーと IDプロバイダー (IdP) の 間でフェデレーションメタデータを交換するための 設定を⾏う 2. AWS SSO の ID ソースで外部 ID プロバイダを指定し、 ID プロバイダーメタデータセクションで フェデレー ションメタデータとして、ダウンロードした XML ファイルを参照して選択 ユーザー属性 のマッピング SCIM Azure AD AWS Single Sign-On 外部IDプロバイダー /SCIMクライアント IDプロバイダー /SCIMサーバー など(※) など ※AWS Single Sign-On(SSO)がサポートする テスト済みの外部IDプロバイダーはOktaとAzure ADのみ SCIM (System for Cross-Domains Identity Management) 異なるドメイン/事業者間のアカウントプロビジョニ ングを実現する仕組み
  • 40. © 2020, Amazon Web Services, Inc. or its Affiliates. 40 IdPのローカルアイデンティティストア たとえば、AWS SSOの場合 1. IDソースにAWS SSOディレクトリを選択 2. AWS SSOのインターフェイスでユーザーを管理 注)運⽤上の利便性が⾼いものの、組織のアイ デンティティを⼀元管理する観点からは推奨さ れない点に留意が必要 など AWS Single Sign-On ユーザーやグループ の登録管理
  • 41. © 2020, Amazon Web Services, Inc. or its Affiliates. 41 Active Directoryを構成し参照 適材適所の構成パターンを選択、あるいは組み合わせて構成 オンプレミス AD を参照 AWS環境に独⽴した ADを構築 オンプレミス AD との信頼関係 読み取り専⽤の レプリカ(RODC) AD 配置 AWS 利⽤サービス AD Connector (ADC) • Microsoft AD (MSAD) • Simple AD※ Microsoft AD (MSAD) EC2(Windows Server AMI) 構成の説明 オンプレミスに展開されたドメ インコントローラーに対して ADC 経由で接続 MSAD、Simple AD を使⽤ MSAD とオンプレミス AD ドメ インとの双⽅向の推移的信頼関 係 読み取り専⽤のレプリカドメイ ンコントローラー(RODC)を構 築 ポイント 構成はシンプルになるが、オン プレミスへの問い合わせが発⽣ オンプレミスと独⽴したドメイ ンとして運⽤ オンプレミスと独⽴したドメイ ンとなるが、信頼関係の構築に よりオンプレミスドメインを認 証に利⽤することが可能 認証処理がRODCで完結するた め、オンプレミスの障害などか ら影響を分離可能 ※AWS Single Sign-On(SSO)は、Samba4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。 ドメイン コントローラー AD Connector オンプレミス Microsoft AD or Simple AD オンプレミス ドメイン コントローラー Microsoft AD オンプレミス ドメイン コントローラー RODC on EC2 オンプレミス
  • 42. © 2020, Amazon Web Services, Inc. or its Affiliates. 42 アイデンティティストア⽐較(2020年7⽉現在) 外部IDプロバイダー IdPのローカル アイデンティティストア Active Directory AWS 利⽤サービス AWS Single Sign-On(SSO) (IdPとして⽤いる場合) AWS Single Sign-On(SSO) (IdPとして⽤いる場合) AWS Directory Service あるいはEC2 ポイント マネージドサービスのみで完結 マネージドサービスのみで完結 お客様のAWS環境内で完結 IdPとの ユーザー属性 マッピング SCIM ⼀般にはIdP内でユーザー/グループを管理 Active Directoryの属性 可⽤性の考慮 不要 (マネージドサービス) 不要 (マネージドサービス) 要 (お客様⾃⾝で冗⻑化) Sign-in URL 外部IDプロバイダー https://<外部IDプロバイダー Endpoint> AWS SSOの場合 https://YOUR-DOMAIN.awsapps.com/start/ Third Party Endpointの場合 https://<Third Party Endpoint> AWS SSOの場合 https://YOUR-DOMAIN.awsapps.com/start/ Third Party Endpointの場合 https://<Third Party Endpoint> 特記事項 AWS Single Sign-On(SSO)がサポートする テスト済みの外部IDプロバイダーは OktaとAzure ADのみ(※) 独⽴したアイデンティを持つことになり、 ⼀元管理上の課題が⽣じる − ※Supported Identity Providers https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html
  • 43. © 2020, Amazon Web Services, Inc. or its Affiliates. 43 多様な要件への対応
  • 44. © 2020, Amazon Web Services, Inc. or its Affiliates. 44 IDフェデレーションは多様な組織の要件に対応可能 • IDフェデレーションのコンポーネントは疎結合 • 各々を組み合わせることで多様な組織の要件に対応可能 IDプロバイダー (IdP)アイデンティティストア サービスプロバイダー (SP) m n o: :
  • 45. © 2020, Amazon Web Services, Inc. or its Affiliates. 45 部署B管理 部署A管理 管理部⾨管理 たとえば、IDプロバイダー(IdP)の分割 適⽤シーン例 • 部署毎にIdPの管理を分割することで、部署毎の運⽤の柔軟性を獲得 • アイデンティティは組織で共通のものを利⽤ サービスプロバイダー (SP) 認証 認証 フェデレーション フェデレーション IDプロバイダー (IdP) IDプロバイダー (IdP) アイデンティティストア
  • 46. © 2020, Amazon Web Services, Inc. or its Affiliates. 46 サードパーティ管理 事業部⾨管理 管理部⾨管理 たとえば、アイデンティティストアとIDプロバイダーの分割 適⽤シーン例 • ⼈事的な職責と離れて権限を付与、たとえば組織のIDを持たないユーザー(パー トナーなどのサードパーティ)に事業部⾨で権限を付与 アイデンティティストア 従業員 IDプロバイダー (IdP) IDプロバイダー (IdP)アイデンティティストア サードパーティ 認証 認証 フェデレーション フェデレーション サービスプロバイダー (SP) AWSアクセスは IdPで統制
  • 47. © 2020, Amazon Web Services, Inc. or its Affiliates. 47 シングルサインオン運⽤のポイント
  • 48. © 2020, Amazon Web Services, Inc. or its Affiliates. 48 シングルサインオン運⽤のよくある論点 操作ログからフェデレーション前の アイデンティティを一意に識別可能か? 操作ログの追跡は 容易かつわかりやすいか? AWSアカウント数とともに増加する ロールの統制をどうすればよいのか? 組織変更や兼務など、 多様なニーズにどう対応するか? トレーサビリティ ロールと権限の管理
  • 49. © 2020, Amazon Web Services, Inc. or its Affiliates. 49 トレーサビリティ
  • 50. © 2020, Amazon Web Services, Inc. or its Affiliates. 50 AWS CloudTrailはフェデレーション前のIDを表⽰ AWS CloudTrail マネジメントコンソールでの確認 IDプロバイダー (IdP)から連携された フェデレーション前のIDを表⽰
  • 51. © 2020, Amazon Web Services, Inc. or its Affiliates. 51 フェデレーション前のIDを取得、追跡するメカニズム AWS CloudTrailログはRoleSessionNameをユーザー名として取り扱う • IDプロバイダー(IdP)からSAMLアサーションにて連携される属性のひとつ ここにフェデレーション前のIDを含めることで追跡が容易になる • スイッチロールにおいてトレーサビリティを簡単に実現する仕組み (※)と同⼀ "userIdentity": { "type": "AssumedRole", "principalId": "AROAXXXXXXXEXAMPLE: RoleSessionName ", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/RoleSessionName ", "accountId": " 123456789012", "accessKeyId": "ASIAXXXXXXXEXAMPLE", (略) CloudTrailログの例 ※IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定 https://aws.amazon.com/jp/about-aws/whats-new/2020/04/now-easily- identify-the-identity-responsible-for-the-actions-performed-using-iam-roles/
  • 52. © 2020, Amazon Web Services, Inc. or its Affiliates. 52 ロールと権限の管理
  • 53. © 2020, Amazon Web Services, Inc. or its Affiliates. 53 IDフェデレーションで変わる運⽤の論点 • AWSアカウント毎のアイデンティティ管理は不要となるが、代わりにフェデレー テッドユーザー向けロールの管理が必要(AWS SSOではアクセス権限セット) • AWSアカウント数とともに管理しなければいけないロール数も増加 • ロールベースのアクセスコントロール(RBAC)では職務毎にポリシーとロール が増加しがち 組織変更や兼務といった多様な権限のニーズに対応しながら、ロールやポリシーの 増加という、統制の妨げとなる複雑性をどのように軽減ないし解消していくか? 新しい論点
  • 54. © 2020, Amazon Web Services, Inc. or its Affiliates. 54 属性ベースのアクセスコントロール(ABAC)モデル 属性(Attribute)を利⽤して組織と共にスケールする権限ルールを実現する考え⽅、 上⼿く適⽤することでポリシーやロールの数を削減可能 Project = Blue Project = Green 企業ディレクトリ上の 従業員の ID情報 プロジェクトリソース (システムリソース) ロールタグに基づく IAMロールと権限 Project = Red IAMユーザー 同⼀のポリシー 同⼀のロール
  • 55. © 2020, Amazon Web Services, Inc. or its Affiliates. 55 AWS 環境における属性(Attribute)とは AWSにおける属性は、キーあるいはキーと値のペアから構成されるAWS 上のタグ • プリンシパルタグ:アクションの主体となるユーザーやロールのタグ • リソースタグ:アクションの操作対象となるリソースのタグ UserID = Bob Team = Engineering Project = Integration Project = Integration Env = Development CreatedBy = Bob 属性の例
  • 56. © 2020, Amazon Web Services, Inc. or its Affiliates. 56 プリンシパルタグ/リソースタグを⽤いたABACポリシーの例 { "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", (途中省略) "secretsmanager:UpdateSecret" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/project": "${aws:PrincipalTag/project}" } } } ] } AWS Secrets Manager のポリシーの例 プリンシパルタグとリソースタグのProject の値が等しいリソースのみ操作が可能
  • 57. © 2020, Amazon Web Services, Inc. or its Affiliates. 57 セッションタグ:ABACのIDフェデレーションへの拡張 フェデレーテッドユーザー向けロールのセッションにプリンシパルタグを付与する 仕組み、 単⼀のロールに対し、SAMLアサーションを通じてユーザー毎/セッション 毎に異なるタグ付けが可能
  • 58. © 2020, Amazon Web Services, Inc. or its Affiliates. 58 SAML利⽤時のセッションタグの受け渡し <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:project"> < AttributeValue >Automation<AttributeValue> </ Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:jobfunction"> < AttributeValue >SystemsEngineer<AttributeValue> </ Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys < AttributeValue >project<AttributeValue> </ Attribute> IDプロバイダー(IdP) から AWS に送信するSAML アサーションの属性例
  • 59. © 2020, Amazon Web Services, Inc. or its Affiliates. 59 属性ベースのアクセスコントロール(ABAC)適⽤のポイント • ロールベースのアクセスコントロール(RBAC)との使い分けや併⽤を整理して 適⽤する(= ⼆者択⼀ではなく適材適所) たとえば、 • ⼈事的な職責と離れて短期間で変わる権限:ABAC • ⼈事的な職責と⼀致する権限:RBAC • 属性(Attribute)のないプリンシパル/リソースの考慮 • デフォルトでは権限を付与しないFail Safeのポリシー設計が望ましい • IAMポリシーによる強制(※)によってタグ付けの抜けや漏れを防⽌できる • タグやポリシーはシンプルさを重視し運⽤の煩雑化を避ける ※IAM: Create New Users Only With Specific Tags https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-new-user-tag.html
  • 60. © 2020, Amazon Web Services, Inc. or its Affiliates. 60 まとめ
  • 61. © 2020, Amazon Web Services, Inc. or its Affiliates. 61 ふりかえり シングルサインオンの構成には、 AWS Single Sign-On(SSO)や、Active Directory Federation Services(ADFS)、 外部サービスとの連携など、複数のデザインパター ンがあります。 運⽤の違いをふまえながらシングルサインオンを構成する勘所を解説しました。 シングルサインオンを上⼿く適⽤するとアイデンティティの運⽤が簡素化されます。 導⼊後の統制のしやすさ、運⽤のしやすさを⼤切な指標として設計してください。
  • 62. © 2020, Amazon Web Services, Inc. or its Affiliates. 62 まとめ • シングルサインオンは煩雑なアイデンティティ管理を簡素化 • AWSではIDフェデレーションによってシングルサインオンを実現 • 適材適所の選択&組み合わせにより、多様な組織の要件に対応可能 • AWS Single Sign-OnやABACはシングルサインオンの運⽤をよりシンプルにする • シングルサインオンにおいてもトレーサビリティは維持される • 導⼊のしやすさ、運⽤のしやすさは最も⼤切な設計上の指標のひとつ
  • 63. © 2020, Amazon Web Services, Inc. or its Affiliates. 63 AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive Thank you!