AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024

2024 年 7 月 31 日 にクラスメソッドの大阪オフィスで開催された DevelopersIO 2024 OSAKA において「AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理」というタイトルで話しました。

本ブログで資料を公開します。

登壇資料

次の内容について記載しています。

1. マルチアカウントのユーザー管理の課題
2. IAM ユーザーの一元管理の基礎
3. IAM ユーザーの一元管理のテクニック集
   1. AWS Extend Switch Roles を利用したスイッチロール設定の管理
   2. スイッチロールの条件として MFA 有無と送信元 IP アドレスを指定
   3. スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可
   4. アクセスキーの利用
   5. AWS CloudFormation を利用した IAM ロールの設定
   6. 外部 ID プロバイダとの連携 （Microsoft Entra ID との連携）
   7. AWS IAM Identity Center と組み合わせた利用
   8. 未利用の IAM ユーザーの無効化
   9. ABAC (属性ベースのアクセス制御) の設定

参考資料

資料上の「IAM ユーザーの一元管理のテクニック集」で参照している主な参考資料を記載します。

AWS Extend Switch Roles を利用したスイッチロール設定の管理

• 各種ブラウザでAWS Extend Switch Roles #AWSExtendSwitchRoles - Qiita

スイッチロールの条件としてMFA 有無と送信元 IP アドレスを指定

• Jumpアカウント環境でIPアドレス制限を行う方法 | DevelopersIO

スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可

• 信頼ポリシーにおいてスイッチロールできるIAMユーザーを複数指定する方法 | DevelopersIO
• IAMユーザーのパス設定を変更してみる | DevelopersIO

アクセスキーの利用

• IAM初心者がAWS CLIでスイッチロールするまで | DevelopersIO
• マネコン起動もできるAWSのスイッチロール用CLIツール「AWSume」の紹介 | DevelopersIO
• AWS CloudChell の参考資料
  • のサービスクォータと制限 AWS CloudShell - AWS CloudShell
  • AWS CloudShell におけるファイルのアップロード・ダウンロードを禁止する権限を試してみた | DevelopersIO

AWS CloudFormation を利用した IAM ロールの設定

• CloudFormation StackSetsでスイッチロール用のIAM Roleを一括作成する - サーバーワークスエンジニアブログ

外部 ID プロバイダとの連携（Microsoft Entra ID との連携）

• Jump アカウント構成で外部 ID プロバイダとして Entra ID を利用する | DevelopersIO

AWS IAM Identity Center と組み合わせた利用

• AWS IAM Identity Center から踏み台アカウント経由で AWS Organizations 管理外アカウントにスイッチロールしてみる | DevelopersIO

未利用の IAM ユーザーの無効化

• AWS Config ルールの自動修復を利用して一定期間未利用の IAM ユーザーを無効化してみた | DevelopersIO

ABAC (属性ベースのアクセス制御) の設定

• Jump アカウント構成で ABAC を使って EC2 インスタンスの起動・停止許可を与える | DevelopersIO
• Jump アカウント構成において IAM ユーザーのタグを利用した ABAC により EC2 インスタンスの起動・停止許可を与える | DevelopersIO