Microsoft Entra Permissions Management で AWS IAM Identity Center 構成機能を使ってみた

いわさです。

Microsoft Entra Permissions Management はマルチクラウド環境での権限管理を行うことが出来る CIEM (Cloud Infrastructure Entitlement Management) サービスです。

AWS、Azure、Google Cloud など対応しており、AWS アカウントであればオンボードした環境の IAM やリソースの権限状況を可視化し問題点に対するサジェストを行ってくれます。

次のドキュメントで紹介されているように、こちらに AWS IAM Identity Center 構成機能というものがプレビューで提供されていることを知りました。

ただ、ドキュメントを見てもいまいち何をしてくれるのかわかりません。Microsoft Entra Permission Management のサインインを AWS IAM Identity Center で行えるというわけでは無さそうに見えます。

本日はこちらを実際にためして、IAM Identity Center を統合すると何が出来るようになるのか。確認出来ましたので紹介したいと思います。

設定方法

前提として、Azure サブスクリプションおよび AWS アカウントを Microsoft Entra Permissions Management へオンボード済みです。

このあたりの手順は本日は割愛しますが、次の記事で詳しく紹介されていますのでこちらを参考にしてください。本日時点でもほぼユーザーインターフェースの変更はなかったのでだいたい同じ流れで設定出来ると思います。

統合済みのデータコレクターから IdP の構成を行う

次のようにオンボード済みの AWS データコレクターのメニューから「ID プロバイダーの構成」を選択することで構成を開始することが出来ます。

あるいは新規でデータコレクターを構成する場合でもオプションメニューとして IdP 構成を行うことが出来ます。
なお、IdP 構成自体は本日時点ではプレビュー機能で、現時点では AWS IAM Identity Center と Okta から選択が可能です。

本日は AWS IAM Identity Center を統合してみます。

対象 Organizations の管理アカウントを入力します。
管理アカウントロールがプレースホルダーになっているのですが、任意の値を入力することを忘れないでください。
ここで入力した内容が CloudFormation のパラメータとなるのですが、デフォルトだと空文字となってしまいスタック作成に失敗します。

入力後に CloudFormation テンプレートをダウンロードしてスタックを作成します。あるいは「管理アカウント テンプレートの起動」から、マネジメントコンソール宛の URL を起動することが出来ます。

EPM 側で必須項目を入力出来てればそのままスタック作成で OK です。
スタック内容は割愛しますが、主に Organizaiotns アクションなどの許可ポリシーで構成された IAM ロールなどが作成されます。

作成後、データコレクターの構成を完了させます。

ちなみに、Azure データコレクター側には IdP 統合機能がありません。
今回の機能では Okta 側の管理なども可能なので、他のクラウドプロバイダーでも利用したいところですね。

統合前の Entra Permissions Management ダッシュボードや調査結果

そもそもの Microsoft Entra Permissions Management の使い方なのですが、オンボードしたアカウントやサブスクリプションの権限情報をデータコレクターが収集してくれるので、可視化された情報から洞察を得たりリスクの高い問題点に対処したりする際に役立てることが出来ます。

次は先程オンボード済みの AWS アカウントに関するダッシュボードです。
権限周りを中心に分析結果のサマリや件数が表示されています。

項目をクリックするとより詳細なレポートを確認することも出来ます。
例えば次の画面では非アクティブなユーザーやロールを管理することが出来ます。棚卸しなどにも使えそうですね。

権限が過剰に割当たっているユーザーやロールも確認することが出来ます。
後述しますが、IdP 統合前は Identity Center のユーザーなどはここには表示されていませんでした。

次のようにグラフで確認することも出来ます。Permissions Management なかなか良いな。

統合後には IAM Identity Center ユーザーが抽出された

IAM Identity Center のユーザーにメンバーアカウントへの許可セットを割り当てしました。
次のように IAM Identity Center の特定ユーザーはポータルから AWS アカウントへアクセスすることが出来る状態にしており、その際のアクセス権限は AdministratorAccess という強い権限を敢えて設定しています。

統合後は次のように、先程は抽出されていなかった IAM Identity Center ユーザーが抽出されました。

オーバープロビジョニングされたユーザーとして認識されていますね。

このように統合することで、AWS アカウント外の IdP を含めたユーザーの AWS アカウントに対する権限も含めて管理することが出来るようになりました。
Permissions Management に対して IdP でアクセスするとかではなくて、統合された IdP 情報も含めてデータコレクターにアクセス許可を行うという感じですね。

さいごに

本日は Microsoft Entra Permissions Management でプレビュー中の AWS IAM Identity Center 構成機能を使ってみました。

CIEM の観点でいうと AWS アカウントにアクセス出来る IdP ユーザーも管理するという点はなるほどと思いました。今回は IAM Identity Center ですが、AWS と連携した Okta 上の非アクティブなユーザーや、強い権限を持ったユーザーが CIEM 内で管理出来るのは良いですね。