[アップデート]AWS SSOの管理をメンバーアカウントに委任できるようになりました

2022.05.13

はじめに

こんにちは。大阪オフィスの林です。

AWS SSOの管理をメンバーアカウントに委任できるようになりましたので早速やっていきたいと思います。

  • いままで

  • これから

何がうれしいか

管理アカウントは、管理アカウントでしかできないタスクのみに限定しておくことが管理アカウントのベストプラクティスとされています。
今回のアップデートを活用することで、推奨されるAWSセキュリティのベストプラクティスに一歩近づくことが出来ます。

やってみた

AWS SSOのダッシュボードから「設定」-「管理」-「アカウントを登録」を選択します。

委任先のメンバーアカウントを選択し「アカウントを登録」を選択します。

正常に登録できたことを確認します。

動作確認

委任先のメンバーアカウントにログインしAWS SSOのダッシュボードを見てみるとユーザーの一覧が参照できるようになっています。

ユーザーの作成もモチロンできます。

いままで管理アカウントで管理していたAWS SSOのIDストアユーザー/グループやアクセス許可セットなどの設定は?

引き継がれます(ました)。

注意点とベストプラクティス

AWS Blogにもまとまっていました。

注意点

Microsoft Active Directory (AD)をIDプロバイダーとして使用する場合に注意点があります。※詳細は上記ブログをご確認ください。

  • IDソースがActive Directoryに設定されているときにAWS SSO委任管理を使用するには、ディレクトリに対してAWS SSO configurable AD syncを有効にする必要がある。
  • AWS SSOのIDソースを他のソースからActive Directoryに変更する、またはActive Directoryから他のソースに変更する場合、ディレクトリは変更を実行するアカウントに存在している(所有されている)必要がある。

ベストプラクティス

AWS SSOの管理委任について、下記3点のベストプラクティスが紹介されていました。

  • 管理アカウントにアクセスさせるための専用のアクセス許可セットを作成する。
  • そのアクセス許可セットには最小権限の原則を適用する。
  • AWS SSOのIDソースとしてAWS Directory Services for Microsoft Active Directory(AWS Managed Microsoft ADまたはAD Connector)のいずれかを使用する場合、AWS SSO委任管理者アカウントと同じAWSアカウントに配置する。

まとめ

また一つ、管理アカウントでしかできないタスクが減りました。
繰り返しですが、管理アカウントは、管理アカウントでしかできないタスクのみに限定しておくことが管理アカウントのベストプラクティスとされています。
既にAWS SSOを利用中の方は、環境によっては委任時の考慮は必要となりますが、これから新しくAWS SSOの管理を始める方は、積極的にメンバーアカウントに管理を委任させるのがよいのではないでしょうか。

以上、大阪オフィスの林がお送りしました!