[アップデート] AWS Control Tower での IAM Identity Center 利用(オプトイン/アウト)が選べるようになりました!

地味激アツアプデ
2023.06.14

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうも、ちゃだいん(@chazuke4649)です。

AWS Control Tower での IAM Identity Center 利用(オプトイン/アウト)が選べるようになりました!

AWS Control Tower increases account access configuration flexibility

参考情報

AWS IAM Identity Center self-management available for landing zone - Release notes

Manage Users and Access Through AWS IAM Identity Center (successor to AWS Single Sign-On) - AWS Control Tower

IAM Identity Center guidance - AWS Control Tower

どういうこと?

今までは、AWS Control Towerランディングゾーンを有効化する場合、IAM Identity Centerの利用は必須でした。また、これによりControl Towerによってデフォルトとして自動生成されるいくつかのIdentity Centerリソース(ユーザー、グループ、許可セット)が存在し、利用者の中ではそれらが不要なので作りたくないケースがありました。

今回のアップデートで、そういった利用者の悩みや希望が叶えられた模様です。ありがたや。

それでは早速やってみます。

やってみる(概要)

今回のアップデートの調査は3つの状態を確認します。

  1. 初期セットアップ(Control TowerでIdentity Centerを無効化)
  2. 設定変更1(Control TowerでIdentity Centerを有効化)
  3. 設定変更2(Control TowerでIdentity Centerを再度無効化)

実施前は以下条件で行います。

  • メインリージョン: 東京
  • Identity Centerの状態: 有効化していない

1. 初期セットアップ(Control TowerでIdentity Centerを無効化)

実行

新しく AWS Control Tower ランディングゾーンをセットアップします。

※ 他部分の説明は割愛します。

ステップ4 Addtional configrations にて、今回がアップデート部分が確認できました。

以下を選択します。

Control Tower がアカウントのディレクトリグループとアクセス許可セットを自動生成することを禁止するAWS Control Tower がメンバーアカウントのディレクトリグループとアクセス許可セットを作成することを禁止し、アカウントの作成中に関連付けを回避するには、このオプションを選択します。

他は特にデフォルト設定から変更せず、ランディングゾーンのセットアップを実行します。

2~30分待つと無事ランディングゾーンのセットアップが完了しました。

確認

まずControl Towerコンソールの「ランディングゾーン設定」を開くと、「IAM Identity Centerが有効でない」ことが確認できました。

同じページの「アクセス許可」セクションでも同様です。

「ユーザーとアクセス」ページでも同様です。

ちなみにIdentity Centerと連携する画面を開くと、以下のようなエラーが表示されました。(後で分かりましたが、これは、そもそもIdentity Centerを有効化していなかったため、Identity Centerのサービスにリンクされたロールすらなかったため かと思われます)

それでは、Identity Centerコンソールに移動すると、案の定まだ有効化されていませんでした。

Identity Centerを有効化します。(リージョンはControl Towerと同じ東京です)

Identity Centerユーザー、グループ、許可セット、どれもまっさらな状態で何も作成されていませんでした。

ちなみに念の為、IAMコンソールを開くと、Control Towerの仕組みに必要なIAMロールは無事されている模様でした。

2. 設定変更1(Control TowerでIdentity Centerを有効化)

実行

それではランディングゾーンの設定変更を行い、Identity Centerを初めて有効化します。

上記以外はそのままで、ランディングゾーンを更新します。

また、2,30分後に更新が完了しました。

確認

Control Towerコンソールのランディングゾーンにて有効化が確認できました。

フェデレーションアクセス管理とユーザーID管理が表示されました。

Identity Centerコンソールに移ります。

ユーザーには、従来作成されていた AWS Control Tower Admin ユーザーが作成されました。

グループも許可セットも従来作成されていたグループや許可セットが作成されていました。

AWSアカウントへのプロビジョニングも一部確認できました。

Service Catalogコンソールに移ります。

AWS Control Tower Account Factory Portfolio には、従来通り許可されていた、2つのアクセス許可が確認できました。

3. 設定変更2(Control TowerでIdentity Centerを再度無効化)

実行

それではランディングゾーンの設定変更を行い、Identity Centerを再度無効化します。

ちなみに最終確認画面では、以下のように Opted out/Not enabled と書かれていました。

数分経つと完了しました。

確認

Control Towerコンソールでは意図通り「有効化になっていません」に戻り、表示されなくなりました。

Identity Centerコンソールに移ります。

結論から言うと、Control Towerによって自動生成されたリソース・設定は削除されず保持されたままでした。Service Catalogの当該ポートフォリオへのアクセスも同様です。

よって、ユーザーも削除されておらず、ステータスも有効のままで、

許可セットも削除されておらず、プロビジョニング済みのままでした。

公式ドキュメントにも「削除されないから、削除してね」と記載があります。

Note If you remove AWS IAM Identity Center from your AWS Control Tower landing zone, the users, groups, and permission sets that AWS Control Tower created are not removed. We recommend that you remove these resources.

引用元)IAM Identity Center guidance - AWS Control Tower

おまけ(アカウントファクトリー画面の変更点)

Control TowerでのIdentity Centerを無効化している状態では、アカウントファクトリー画面でも、従来存在した「Identity Centerユーザー情報」の入力が不要になっていました。

検証は以上です。

終わりに

すでにControl Towerを利用しているユーザーもこれからのユーザーも、Identity Centerの設計管理を独自で行いたい場合に、自動生成されていたリソースがなくなり取捨選択できるようなったことは地味にアツいアップデートかと思われます。やったね。

それでは今日はこの辺で。ちゃだいん(@chazuke4649)でした。