Download as PDF, PPTX
Uploaded byAmazon Web Services Japan
AWS Re:Invent Security Recap AWS SSO
AWS Re:Invent_security recap AWS SSO
![[D12] NonStop SQLって何? by Susumu Yamamoto](https://cdn.slidesharecdn.com/ss_thumbnails/d12whatnonstopsqlyamamoto-131125024842-phpapp01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介](https://cdn.slidesharecdn.com/ss_thumbnails/20220126-anti-220126190603-thumbnail.jpg?width=640&height=640&fit=bounds)
AWS Re:Invent Security Recap AWS SSO
- 1. アマゾンウェブサービスジャパン株式会社 西日本担当 ソリューションアーキテクト 辻 義一 AWSSingle Sign-On (SSO) 2017.12.7 General Availabilityバージニア北部リージョンで提供開始
- 2. 自己紹介 辻辻 義一義一(つじ(つじ よしかず)よしかず) 西日本担当西日本担当ソリューションアーキテクトソリューションアーキテクト 簡単な経歴簡単な経歴 •• 大阪生まれの大阪育ち。大阪生まれの大阪育ち。 •• 独立系独立系SIerSIerでインフラエンジニア。でインフラエンジニア。 AWSAWSのすきな所のすきな所 〜〜 安い、早い、おもしろい安い、早い、おもしろい 〜〜
- 3. 何が求められているか? AWS リソース 権限 コスト を明確に分離したい プロジェクト 単位 本番環境 開発環境 エンドユーザ 企業単位 IAMユーザと IAMポリシー リソース タグ AAAAPJ-A BBBB PJ-B CCCC PJ-A 使用状況レポート とタグ付け 要件によっては 分離しきれない 方法1
- 4. 何が求められているか? AWS リソースを 別々の AWSアカウントに分離 アカウントを越えて ・データコピー ・ネットワーク接続 ・一括請求 も可能 ログインの手間 権限管理の分散 権限 コスト を明確に分離したい プロジェクト 単位 本番環境 開発環境 エンドユーザ 企業単位 方法2
- 5.
- 6. そのためにどんな課題があるか? 既存の SSO ソリューショ ンはAWS との連携が 十分ではない 従来の SSO ソフトウェアは 複雑で高価、 専門知識が必要
- 7. AWS Single Sign-On(SSO) AWS アカウントとビジネスアプリケーションへの シングルサインオン (SSO) を提供するクラウドサービス 複数 AWS アカウントのコ ンソールに SSO アクセス 簡単に利用を 始めれる 既存の社内 ID 基盤 (Active Directory) を活用する ビジネス アプリケーションに SSO アクセス
- 8. 価格と提供リージョン AWS SSO は追加料金なし で利用可 AWS SSO の利用には AWS Directory Service との連携が必須。 Microsoft ADは$106.9〜/月、AD Connectorは$58.56-175.68/月。 2017/12/7 に General Availability 現時点では バージニア北部リージョン(us-east-1) のみで提供 • AWS Directory Service も同一リージョンで設定が必要 AWS Organization のすべての機能を有効化が必要 (全ての子アカウントで有効化の承認が必要)
- 9. 対応内容 ユーザレポジトリ Active Directory •AWS Directory Service の Microsoft AD あるいは AD Connector で連携 2要素認証 Directory Service に設定された RADIUS によるワンタイムパスワード ログイン先 AWS Organizations の組織に内にあるAWS アカウントの マネージメントコンソール SAML 2.0 対応アプリケーション
- 10.
- 11.
- 12.
- 13.
- 14.
- 15. AWS SSO を設定する ①AWSアカウントへのアクセス
- 16. AWSアカウントと権限指定 マスターAWSアカウント AWS OrganizationsAWS SingleSign-OnAWS Directory Service Active Directory 設定 ディレクトリ接続 オンプレミス メンバーアカウント #1 メンバーアカウント #N フル機能を有効にした AWS Organizations を通じて 組織内のAWSアカウントを指定 IAMポリシーと同じ文法とツールで パーミッションセットを定義 定義とポリシーがメンバーアカウント に自動的に設定される 1 1 2 3 3 2 3 IAMロール& IAMポリシー IAMロール& IAMポリシー
- 17. Active Directory 上のユーザを指定 マスターAWSアカウント AWSOrganizationsAWS Single Sign-OnAWS Directory Service Active Directory 設定 ディレクトリ接続 ユーザ& グループ オンプレミス メンバーアカウント #1 メンバーアカウント #N AD 上のユーザやグループに パーミッションセットを割り当て 4 4
- 18. ログインフロー マスターアカウント AWS Single Sign-On AWSSSO ユーザポータル Active Directory ユーザ パーミッション セット オンプレミス メンバーアカウント AWS SSO ユーザポータル をブラウザで開く AWS SSO はパーミッションセット に基いて許可されたアプリを表示 ユーザはメンバーアカウント内の IAM ロールとしてSSOログイン リソースへのアクセスは AWS Organizations の SCP や IAM ポリシー で管理される CloudTrail で監視や監査 AWS Directory Service 1 1 2 3 4 社内の認証情報を使ってログイン2 5 AWS ClodTrail 3 4 5 グループ
- 19. 特徴 AWSアカウントへのSSOアクセス • AWS Organizationsを使って、 特定のAWSアカウントや組織ユニット内の 全アカウントへのアクセスを指定 • 一般的な仕事の役割に基いて パーミッションを割り当て • 個別のセキュリティ要件に適するように パーミッションのカスタマイズも可能 • 1人に複数のAWSアカウントの 複数のパーミッションを割り当て可能
- 20. AWS SSO を設定する ②SAML対応アプリへのアクセス
- 21. アプリを登録 マスターカウント AWS Single Sign-OnAWSDirectory Service ユーザ& グループ Active Directory ディレクトリ接続 アプリ オンプレミス AD 上のユーザやグループに を割り当て 2 22 1 2 事前定義されているビジネスアプリ あるいは カスタムアプリケーションを選択して登録 アプリケーションのメタデータ を登録 13 設定 3
- 22. 特徴 SAML対応しているアプリケーションへの SSOアクセス • SAMLが利用可能なビジネスアプリケーションへの SSOアクセスを設定 • 多くの主要なSaaSへの事前定義設定あり •その他のSaaSや独自アプリケーションも登録可能
- 23.
- 24. 関連するその他のサービス・機能 AWS Directory Service AmazonCognito User Pool/ FederatedIdentity モバイルアプリやSingle Page Application (SPA) 向けの認証機能 SAMLでアプリにSSOログイン できるように連携 既存 Active Directory との連携、 マネージドのActive Directory の実現 ADユーザにマネージメントコンソール へのログインを実現 AWS Identity and Access Manager (IAM) SAML での SSO ログインを受け付けて マネージメントコンソールへのログインや 一時クレデンシャルの提供
- 25. Active DirectoryとAWS DirectoryServiceの連携方法 Option 1: Microsoft ADで オンプレミスのADと 信頼関係を結ぶ Option 3: AWS Microsoft ADを スタンドアロンで利用する Option 2: AD Connectorで オンプレミスのADと接続する Active Directory Directory Service Microsoft AD LDAP, Kerberos, Referrals 信頼関係 ユーザ& グループ Active Directory Directory Service AD Connectorサービス アカウント LDAP & Kerberosユーザ& グループ Directory Service Microsoft AD ユーザ& グループ
- 26. Internet 現時点で日本からバージニア北部リージョンで Directory Serviceを使う方法 Option 1:VPC の インターネットVPN あるいはDirect Connet Gateway で バージニア北部リージョンと接続 Option 2: EC2上のインターネット VPNサーバでリージョン間を接続する Active Directory ユーザ& グループ Active Directory サービス アカウント ユーザ& グループ Directory Service AD Connector Directory Service AD Connector Directory Service Microsoft AD VPN Server VPN Server バージニア北部 東京 バージニア北部 東京
- 27.
- 28. AWS SSOはActive Directory上のユーザに 対してSSOを提供。 •同一Oragnizations内のAWSアカウントの マネージメントコンソール • SAML対応しているSaaSアプリケーション SSO はセキュリティ向上と利便性向上の 両方を実現でき、あらゆる企業におすすめ。