AWS SSOのIDプロバイダの修復を試してみた

AWS SSO が作成した IAM ID プロバイダを変更、削除してしまったときに修復できる ID プロバイダの修復機能を試してみました。
2022.01.31

AWS SSO を用いて AWS アカウントへアクセス権限セットを割り当てたときに、権限を割り当てた AWS アカウントに IAM ID プロバイダが自動的に作成されます。作成された ID プロバイダに対して誤った変更や削除が行われた場合に修復する機能があるため実際に試してみました。

試してみた

AWS SSO のアクセス権限セットを AWS アカウントに対して割り当て場合に SAML フェデレーションのための IAM ID プロパイダーと IAM ロールが作成されます。

AWS SSO によって作成された IAM ID プロバイダ

AWS SSO によって作成された IAM ロール

本ブログでは、IAM ID プロバイダの設定を変更した場合と削除した場合に修復できるか試してみます。

また、AWS SSO が作成した IAM ロールも修復対象か試してみましたが、そもそも IAM ロールの設定を変更することができませんでした。


ID プロバイダの設定変更の修復

まずは、設定内容を変更して修復を試してみます。

ID プロバイダの設定を変更します。今回の例では「メタデータを置換」により誤って別の IAM ID プロバイダの情報をアップロードしてしまった場合を試しました。

Azure AD のメタデータをアップロードして設定内容を変更しました。メタデータドキュメントがアップロード前と異なっていることが確認できます。

変更後に、AWS SSO ユーザーポータルから設定を変更した AWS アカウントにサインインしようとすると失敗します。

この状態を修復するため、IAM ID プロバイダの自動修復を行います。

自動修復は「AWS アカウント」から対象のアカウントを選択して「ID プロバイダの修復」を実行します。

修復に成功しました。

ID プロバイダの情報が基に戻っているのを確認できました。

AWS SSO ユーザーポータルからのサインインも成功しました。


ID プロバイダの削除の修復

IAM ID プロバイダを削除して修復を試してみます。

AWS SSO が作成した IAM ID プロバイダを削除します。

削除を確認できました。

当然ながら、削除後は AWS SSO ユーザーポータルから ID プロバイダを削除したアカウントにはサインインできません。

ID プロバイダの修復を実行してみます。

修復されました。作成時刻も今すぐになっています。


IAM ロールの修復

AWS SSO は各アカウントにアクセス権限セットに対応した IAM ロールも作成します。「ID プロバイダを修復」ですが、IAM ロールも修復されるのか気になり、試してみました。

AdministratorAccess 権限で IAM ロールを削除したところ、できませんでした。IAM ロールは AWS によって管理されているためでした。

同様に変更(IAM ポリシーを追加でアタッチ)もできませんでした。

「ID プロバイダを修復」は IAM ロールも修復対象かどうか調べる以前に変更、削除はできませんでした。

まとめ

AWS SSO の ID プロバイダの修復機能を試してみました。

もし、ID プロバイダの設定を誤って変更してしまった場合は「ID プロバイダの修復機能」で元に戻すことができることを覚えておくと便利です。