produced by Classmethod ˗ˏˋ 技術とビジネスの祭典 ˎˊ˗ Classmethod ODYSSEY 事前登録受付中

Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしている状態において追加の AWS アカウントをオンボードしてみた

yhana

2024.03.16

先日、Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードする下記ブログを書きました。データコネクタ設定の「Manage Authorization Systems」において「Enter Authorization Sytems」を選択しているパターンです。今回は、下記ブログの通り AWS アカウントをオンボードしている状態において、追加の AWS アカウントをオンボードする方法が気になったことから試してみました。

2 個目の AWS アカウントをオンボードするイメージ

冒頭で紹介したブログにおいて、1 個目の AWS アカウントをオンボードしている状態の構成イメージ図です。Microsoft Entra ID のアプリと AWS の IAM ID プロバイダが連携しており、ID プロバイダのある AWS アカウントからオンボードした AWS アカウントにスイッチロールしてアクセスするような構成となっています。

この状態で 2 個目の AWS アカウントをオンボードする場合のイメージ図です。Microsoft Entra ID のアプリと AWS の IAM ID プロバイダは同じリソースを利用して、2 個目のオンボード対象の AWS アカウントに IAM ロールを作成することになります。

2 個目の AWS アカウントをオンボードする設定

追加の AWS アカウントをオンボードしていみます。

作成済みのデータコネクタから「Edit Configuration」を選択します。

「Back」を 2 回実行して「Manage Authorization Systems」の設定まで戻ります。

「Enter Authentication Systems」の設定において、追加の AWS アカウントをカンマ区切りで追記します。カンマの後にスペースは不要でした。下記の入力イメージです。

111122223333,444455556666

次に、追加のオンボード対象の AWS アカウントに対して IAM ロールを作成するために、同じ画面の下部にある CloudFormation のテンプレートをダウンロードします。

ダウンロードした CloudFormation テンプレートを AWS 側で展開します。

CloudFortmaiton サービスにおいて「スタックの作成」を実行して、ダウンロードしたテンプレートをアップロードして進めます。ダウンロードしたテンプレートのファイル名はmember-account-script.yamlでした。

パラメータの入力では「CloudTrail Bucket Name」に CloudTrail のログを配信している S3 バケット名を入力します。Permissions Management において自動修復機能を利用したい場合は「Enable Controller」をtrueに変更します。今回は読み取り権限のみを与えるfalseを指定しています。OIDC Provider Account ID にはデフォルトで AWS の ID プロバイダが構築されている AWS アカウント ID が入力されているはずです。他のパラメータはデフォルトのまま進めてみます。

そのままデフォルト設定で「次へ」で進めていき、最後の確認で IAM リソースの作成を承認するチェックを入れて実行します。

ステータスがCREATE_COMPLETEになれば展開完了です。IAM ロールと IAM ポリシーが作成されていることが分かります。

以上で AWS 側の設定は終わりです。

Permissions Management の設定に戻って「Next」で最後まで進めていき、「Verify Now & Save」を実行すれば設定完了です。

データコネクタの設定画面で「Status」の値をクリックするとオンボード状況を確認できます。

2 つの AWS アカウントがあることがあることが分かります。モザイクしている部分に AWS アカウント ID が表示されています。「Status」がOnboarded状態であればオンボード済みです。設定を追加した直後はConsentedなどの別のステータスになっていると思います。

DASHBOARD 画面においても 2 個の AWS アカウントを確認できました。

以上で 2 個目の AWS アカウントのオンボード設定は終わりです。

さいごに

先日、Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードするブログを書いた後に 2 個目の AWS アカウントのオンボード方法が気になったので、試してみました。既存のデータコネクタ設定を編集して追加するだけで簡単に設定できました。また、2 個目の AWS アカウントのオンボード方法を調べていく中で AWS 側で作成されるリソースへの理解を深めることもできました。

以上、このブログがどなたかのご参考になれば幸いです。

Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしている状態において追加の AWS アカウントをオンボードしてみた

2 個目の AWS アカウントをオンボードするイメージ

2 個目の AWS アカウントをオンボードする設定

さいごに

イベント

EVENT【6/5（水）】QuickSightとTableauのデモで営業分析を解説！アクションに繋げるダッシュボード設計

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしている状態において追加の AWS アカウントをオンボードしてみた

2 個目の AWS アカウントをオンボードするイメージ

2 個目の AWS アカウントをオンボードする設定

さいごに

イベント

EVENT【6/5（水）】QuickSightとTableauのデモで営業分析を解説！アクションに繋げるダッシュボード設計

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

関連記事

Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしてみた

Microsoft Entra Permissions Management で AWS IAM Identity Center 構成機能を使ってみた

失効した Offce365 のカスタムドメインユーザーのメールを Amazon SES で受信してみた

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！