マネージドサービス部 佐竹です。
AWS マーケットプレイス版の WafCharm で構築用メンバーアカウントを発行する手順を画面キャプチャ付きで詳しくご紹介します。
はじめに
WafCharm のライセンスで、AWS マーケットプレイスを利用することが可能です。
我々が WafCharm の構築をお手伝いさせて頂く場合、ほとんどの場合は「代理店向けの統合管理用アカウント」から構築することになるのですが、マーケットプレイス版は現状そのようになっていません。
AWS マーケットプレイス版 (CPPO版) の WafCharm では、お客様毎の専用 WafCharm コンソールで構築作業が必要になります。上図で説明すると、普段我々は左側のアカウントで構築を行っているのです。
ですが、マーケットプレイス版ではそのようになりません。上図の右側の「顧客専用アカウントA」や「顧客専用アカウントB」で構築作業を実施することになります。
この場合、AWS で例えると IAM User を発行して貰うかのように、WafCharm のメンバー(メンバーアカウント)をオーナーから発行して貰う必要があります。オーナーは基本的に直接契約者様である、ユーザ様です。
また、メンバーの払い出しにはいくつか指定する項目があります。
上画像の通り、メンバーの作成時には同時に「ポリシータイプ」を選択する必要があります。初めてメンバーアカウントの払い出しをされる方には、何を設定すればよいのか少し困ることになるでしょう。
というわけで、今回はこの「構築用メンバーアカウントを発行」するための手順を紹介します。
WafCharm 公式ドキュメント
- アカウントの種類とポリシーについて
本ブログは実際の作業に加えて、上記ドキュメントを参考にしています。
構築用メンバーアカウントの発行手順
流れとしては「弊社→ユーザ様→弊社」の順で、それぞれの手順を記載します。
構築担当が行うべきこと①
WafCharm のメンバー情報として、以下の情報を WafCharm のオーナーアカウントをお持ちの担当者様に連携します。
- ユーザー名: 任意の氏名
- メールアドレス: WafCharm 全アカウントで一意の制限あり
- ポリシー名: デフォルトポリシーのうち「Manager」もしくは「Developer」を指定
- パスワード: ランダム文字列で生成し連携、後程パスワードを変更する等(セキュリティポリシー等に応じて対応します)
この時重要な点が2つあります。
メールアドレスのエラーに注意
1つ目はメールアドレスですが、WafCharm 全アカウントで一意の制限があります。
つまり、どこかの WafCharm アカウント内で1度でも登録されたメンバーアカウントのメールアドレスはその他の WafCharm アカウントで利用できなくなります。設定すると The email address already exists. となり、エラー処理されます。
これを回避するには、Gmail の「エイリアス」機能を利用します。
このドキュメントに記載のある設定例のように「 janedoe@gmail.com 」というメールアドレスに対して「janedoe+school@gmail.com」という「+文字列」を@マークまでの間に記述することで回避するということです。例としては +wafcharm1 、 +wafcharm2 などとして回避します。
実際に satake+arias@ とした場合には、問題なく登録されることを確認しています。
どのポリシーを指定するのが良いか
もう1つは WafCharm で付与するポリシーです。基本的には以下のデフォルトポリシー2つから1つを選択します。
- 「Manager」:すべての操作権限があり、さらに「メンバー」の招待に加え「ポリシー」操作を行うこともできます。Ownerと同格の存在であり、
Adminのような権限です。 - 「Developer」:すべての操作権限がありますが、メンバーの招待等はできません。
Manager を解放して頂くかどうかがポイントです。Manager を付与して頂ければ、弊社の構築メンバーの招待を弊社の作業で行えるため、ユーザ様に手を煩わせることなくユーザ管理が可能になります。
例えば3名で構築プロジェクトに対応する場合、3名分のメンバー作成作業をユーザ様にお願いするのは少々気が引けます。ですので、1名だけ Manager で作成して頂き、残りは弊社で2名の Developer を作成するというシーンが考えられます。
ですが、セキュリティとして少々シビアな場合には、人数分の Developer を解放して頂ければ十分です。
なお、特定の許可された WAF Config のみに変更を加えることが可能な「Limited Developer」等をカスタマイズで作成できますが、シビアな設定は運用コストを増加させます。まずは「Manager」か「Developer」で構築作業を開始する方が良いでしょう。
ということで、4点の情報を整理し、WafCharm のオーナーアカウントをお持ちの担当者様に連携して完了です。
ユーザ様に実施頂くこと
ユーザ様は、受け取った情報を用いて WafCharm メンバーアカウント発行のための実作業をお願いします。
WafCharm のコンソールにログイン後、画面右上のユーザ名をクリックし、以下の画面が表示されることを確認します。
メニューから「メンバー設定」を押下して頂くと「メンバー一覧」画面に遷移します。
右上にある「新規追加」を押下し、「メンバー追加」画面を表示します。
上画像の通りの入力画面において、事前に共有されました情報を用いて5つの設定を入力ください。画面キャプチャはあくまで一例のため、この通りに入力されないようお願いします。
- ユーザー名
- メールアドレス
- ポリシー名
- パスワード
- パスワード確認
最後に「保存」を押下してください。
ここまででユーザ様にお願いする作業は完了です。
構築担当が行うべきこと②
ユーザ様において、メンバー追加の作業が完了すると、メールアドレス当てに「WafCharmへようこそ」という件名のメールが送信されます。
認証用の URL がリンクされているため、リンクを押下し、認証を行います。
その後、必要に応じて以下の2点を必ず実施しましょう。
- パスワードのリセット/変更
- 2要素認証の設定
後者の MFA の設定に関しては、「二要素認証の設定方法」も参考にしてください。
WafCharm の構築後は?
WafCharm の初期構築後、継続した作業がない場合や、運用担当者が離任する場合には、WafCharm のメンバーアカウントの棚卸も合わせて必要です。
Developer の場合には、離任時に忘れずにユーザ様へアカウントの削除を依頼しましょう。
まとめ
本ブログでは、AWS マーケットプレイス版の WafCharm でメンバーアカウントの作成が必要となる背景と、構築用メンバーアカウントを発行する手順、そして注意点をまとめました。
WafCharm の初期構築・実装に関わるメンバーの何かの参考になれば幸いです。
では、またお会いしましょう。
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
マネージドサービス部所属。AWS資格全冠。2010年1月からAWSを業務利用してきています。主な表彰歴 2021-2022 AWS Ambassadors/2020-2025 Japan AWS Top Engineers/2020-2025 All Certifications Engineers。AWSのコスト削減やマルチアカウント管理と運用を得意としています。
