【AWS SSO】アクセス権の設定方法

記事タイトルとURLをコピーする

こんにちは。AWS CLIが好きな福島です。

今回は、AWS SSOでのアクセス権の設定方法をブログに記載いたします。

前回は、AWS SSOのアクセス権の仕組みについて、
ブログを記載したため、そちらも合わせてご確認いただけますと幸いです。

blog.serverworks.co.jp

前提

AWS SSOにユーザーもしくはグループが存在していること

やること

①アクセス権限セットの作成
②以下、3要素の割り当て

  • AWSアカウント
  • アクセス権限セット
  • ユーザーもしくはグループ

手順

アクセス権限セットの作成

「アクセス権限セットを作成」を押下します。

f:id:swx-fukushima:20210214161710p:plain

「カスタムアクセス権限セットを作成」を押下します。

f:id:swx-fukushima:20210214161858p:plain

以下を設定します。

  • 名前
  • 説明
  • セッション時間
  • 「AWS管理ポリシーをアタッチ」にチェック
  • 「カスタムアクセス権限ポリシーを作成」チェック

f:id:swx-fukushima:20210214162125p:plain

「AWS管理ポリシーをアタッチ」をチェックすると以下の画面が表示されますので、必要な権限をアタッチします。(10個までアタッチ可能)
今回は、Administratorを付与します。

f:id:swx-fukushima:20210214162333p:plain

「カスタムアクセス権限ポリシーを作成」にチェックすると以下の画面が表示されます。 今回は、特定のS3バケットへのアクセスできるよう設定してみました。
(今回は、Administratorが付与されているので、意味ありませんが。)
設定が完了したら、「次:タグ」を押下します。

f:id:swx-fukushima:20210214162807p:plain

タグも付けることが可能ですが、今回は何も設定しません。

f:id:swx-fukushima:20210214162937p:plain

最後にサマリを確認し、問題なければ「作成」を押下します。

f:id:swx-fukushima:20210214163046p:plain

アクセス権限セットが作成されたことを確認します。

f:id:swx-fukushima:20210214165804p:plain

3要素の割り当て

まず、アクセスしたいAWSアカウントを選択し、「ユーザーの割り当て」を押下します。
※同一のユーザーもしくグループおよびアクセス権限セットを割り当てる場合、複数のAWSアカウントを選択可能です。

f:id:swx-fukushima:20210214163415p:plain

指定したAWSへアクセスしたいユーザーもしくグループを選択します。 選択したら、「次:アクセス権限セット」を押下します。 ※今回は、ユーザーに権限を割り当てますが、運用を考えるとグループを指定した方が良いかと存じます。

f:id:swx-fukushima:20210214163455p:plain

最後に指定したユーザーもしくグループに割り当てるアクセス権限セットを選択します。 選択したら、「完了」を押下します。

f:id:swx-fukushima:20210214165921p:plain

設定が完了すると以下の画面が表示されます。

f:id:swx-fukushima:20210214170031p:plain

上記設定が完了すると指定したAWSアカウントにSingle Sign-On用のIAMロールが自動で作成されます。 名前は、「AWSReservedSSO[アクセス権限セット名][任意の文字列]になるようです。

f:id:swx-fukushima:20210214164139p:plain

IAMロールの設定を確認するとアクセス権限セットに指定した権限が割り当てられていることが分かります。 f:id:swx-fukushima:20210214164333p:plain

信頼関係は、以下の通りとなっていました。

f:id:swx-fukushima:20210214164503p:plain

動作確認

AWS SSOにはユーザーポータルが存在しますので、そのURLにアクセスします。

f:id:swx-fukushima:20210214164750p:plain

アクセスできたら、「Management console」をクリックします。

f:id:swx-fukushima:20210214164901p:plain

すると先ほど、AWS SSOにより自動で作成されたIAMロールを使い、ログインすることができることが分かります。

f:id:swx-fukushima:20210214164957p:plain

おわりに

今回は、AWS SSOのアクセス権の設定方法をご紹介いたしました。
どなたかのお役に立てれば幸いです。

福島 和弥 (記事一覧)

SRE2課

2019/10 入社

AWS CLIが好きです。