Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしている状態において追加の AWS アカウントをオンボードしてみた

Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしている状態において追加の AWS アカウントをオンボードしてみた

#Microsoft Entra Permissions Management
#AWS
yhana

yhana

facebook logohatena logotwitter logo
Clock Icon2024.03.16

先日、Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードする下記ブログを書きました。データコネクタ設定の「Manage Authorization Systems」において「Enter Authorization Sytems」を選択しているパターンです。今回は、下記ブログの通り AWS アカウントをオンボードしている状態において、追加の AWS アカウントをオンボードする方法が気になったことから試してみました。

2 個目の AWS アカウントをオンボードするイメージ

冒頭で紹介したブログにおいて、1 個目の AWS アカウントをオンボードしている状態の構成イメージ図です。Microsoft Entra ID のアプリと AWS の IAM ID プロバイダが連携しており、ID プロバイダのある AWS アカウントからオンボードした AWS アカウントにスイッチロールしてアクセスするような構成となっています。

この状態で 2 個目の AWS アカウントをオンボードする場合のイメージ図です。Microsoft Entra ID のアプリと AWS の IAM ID プロバイダは同じリソースを利用して、2 個目のオンボード対象の AWS アカウントに IAM ロールを作成することになります。

2 個目の AWS アカウントをオンボードする設定

追加の AWS アカウントをオンボードしていみます。

作成済みのデータコネクタから「Edit Configuration」を選択します。

「Back」を 2 回実行して「Manage Authorization Systems」の設定まで戻ります。

「Enter Authentication Systems」の設定において、追加の AWS アカウントをカンマ区切りで追記します。カンマの後にスペースは不要でした。下記の入力イメージです。

111122223333,444455556666

次に、追加のオンボード対象の AWS アカウントに対して IAM ロールを作成するために、同じ画面の下部にある CloudFormation のテンプレートをダウンロードします。

ダウンロードした CloudFormation テンプレートを AWS 側で展開します。

CloudFortmaiton サービスにおいて「スタックの作成」を実行して、ダウンロードしたテンプレートをアップロードして進めます。ダウンロードしたテンプレートのファイル名はmember-account-script.yamlでした。

パラメータの入力では「CloudTrail Bucket Name」に CloudTrail のログを配信している S3 バケット名を入力します。Permissions Management において自動修復機能を利用したい場合は「Enable Controller」をtrueに変更します。今回は読み取り権限のみを与えるfalseを指定しています。OIDC Provider Account ID にはデフォルトで AWS の ID プロバイダが構築されている AWS アカウント ID が入力されているはずです。他のパラメータはデフォルトのまま進めてみます。

そのままデフォルト設定で「次へ」で進めていき、最後の確認で IAM リソースの作成を承認するチェックを入れて実行します。

ステータスがCREATE_COMPLETEになれば展開完了です。IAM ロールと IAM ポリシーが作成されていることが分かります。

以上で AWS 側の設定は終わりです。

Permissions Management の設定に戻って「Next」で最後まで進めていき、「Verify Now & Save」を実行すれば設定完了です。

データコネクタの設定画面で「Status」の値をクリックするとオンボード状況を確認できます。

2 つの AWS アカウントがあることがあることが分かります。モザイクしている部分に AWS アカウント ID が表示されています。「Status」がOnboarded状態であればオンボード済みです。設定を追加した直後はConsentedなどの別のステータスになっていると思います。

DASHBOARD 画面においても 2 個の AWS アカウントを確認できました。

以上で 2 個目の AWS アカウントのオンボード設定は終わりです。

さいごに

先日、Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードするブログを書いた後に 2 個目の AWS アカウントのオンボード方法が気になったので、試してみました。既存のデータコネクタ設定を編集して追加するだけで簡単に設定できました。また、2 個目の AWS アカウントのオンボード方法を調べていく中で AWS 側で作成されるリソースへの理解を深めることもできました。

以上、このブログがどなたかのご参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしてみた

Microsoft Entra Permissions Management に単一の AWS アカウントをオンボードしてみた

User avatar
yhana
2024.03.14
Microsoft Entra Permissions Management で AWS IAM Identity Center 構成機能を使ってみた

Microsoft Entra Permissions Management で AWS IAM Identity Center 構成機能を使ってみた

User avatar
いわさ
2023.10.23
失効した Offce365 のカスタムドメインユーザーのメールを Amazon SES で受信してみた

失効した Offce365 のカスタムドメインユーザーのメールを Amazon SES で受信してみた

User avatar
いわさ
2023.10.22
Microsoft Entra Permissions ManagementでAzureサブスクリプションをオンボードしてみた

Microsoft Entra Permissions ManagementでAzureサブスクリプションをオンボードしてみた

User avatar
hayashi.masaya
2022.07.26
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.