Control Tower 有効化後、IAM Identity Center ユーザーを作成し LogArchive アカウントと Audit アカウントにログインするまで
コーヒーが好きな emi です。
Control Tower を有効化する際、IAM Identity Center(旧 SSO、以降 IIC と省略)も Control Tower 側で自動セットアップできます。
IIC をオプトインした場合、LogArchive アカウントと Audit アカウントへのログインには各アカウントへのアクセス権限を持った IIC ユーザーが必要です。
本記事では IIC ユーザーのセットアップと、LogArchive アカウント、Audit アカウントへのログイン方法を記載します。
※ 追記:IAM Identity Center は IdC と略すことが多いようです。本記事では IIC と略してしまっていて読みにくいかもしれません。ご了承ください。
前提
- Control Tower の有効化(≒ランディングゾーンをセットアップ)が完了している
補足
Control Tower を有効化(≒ランディングゾーンをセットアップ)する際、IAM Identity Center(IIC)をオプトインするか否か選択することができます。つまり、IIC を Control Tower 側で自動セットアップするかしないか選択できるということです。
- 「まだIdentity Centerを利用していない or Control Tower自動生成Identity Centerユーザーで素早くメンバーアカウントにアクセスしたい」場合は、「はい(有効化 = オプトイン)」をオススメします。
- 「すでにIdentity Centerを利用している or 近々利用開始する予定があり、Control Tower自動生成リソースを使用せず Identity Centerを独自管理・構築したい」場合は、「いいえ(無効 = オプトアウト)」をオススメします。
Control Tower の有効化手順などについては以下ブログもご参照ください。
Control Tower 有効化実施後の構成図は以下のようになります。
IIC をオプトインした場合、LogArchive アカウントと Audit アカウントへのログインには各アカウントへのアクセス権限を持った IAM Identity Center ユーザーが必要です。
1. Control Tower 管理アカウントに IAM ユーザーでログインし IIC コンソールに遷移する
Control Tower 管理アカウントで AdministratorAccess
権限を持つ IAM ユーザーでログインください。
ログインできたら、IIC コンソールに遷移します。
2. 利用者のメールアドレスで IIC ユーザーを作成
IIC コンソールで「ユーザーを追加」より、IIC ユーザーを作成します。
IIC コンソールに遷移したら、[ユーザー] - [ユーザーを追加] をクリックします。
以下の情報を入力してください。
- ユーザー名
- E メールアドレス
- E メールアドレスの確認
- 名
- 姓
名と性を入力すると、表示名は自動で入力されます。
以下の項目は任意で入力いただけます。今回は特に設定せず「次へ」をクリックします。
「ユーザーをグループに追加」で、IIC ユーザーの権限を設定します。権限については以下公式ドキュメントを参照ください。
今回は Control Tower の操作や LogArchive アカウント・Audit アカウントへのログインを実施するため「AWSControlTowerAdmins」をチェックして「次へ」をクリックします。
確認画面が表示されます。画面下部までスクロールして「ユーザーを追加」をクリックします。
IIC ユーザーを作成できました。
Invitation(招待)メールが届いていますので、メールを確認します。メールの件名は「Invitation to join AWS IAM Identity Center (successor to AWS Single Sign-On)」です。
「Accept Invitation」をクリックします。
新規ユーザーのセットアップ画面が開きます。パスワードを入力し、「新しいパスワードを設定」をクリックします。
パスワードが設定できました。
AWS アクセスポータルに遷移します。以下のように Control Tower 管理化に存在する AWS アカウントへのスイッチが可能になります。Control Tower 管理アカウントのコンソールに遷移してみます。
2-1. IIC ユーザーに MFA デバイスを設定する
IIC ユーザーで Control Tower 管理アカウントの IIC コンソールに遷移し、作成した IIC ユーザー名のリンクをクリックします。
「MFA デバイス」タブより「MFA デバイスを登録」をクリックします。
以下のように MFA デバイスの登録画面に遷移します。
QR コードを表示し、手元のスマートフォンの MFA アプリでスキャンしてください。手元の MFA アプリに表示された 6 桁のコードを入力したら、「MFA を割り当て」をクリックします。
「完了」をクリックします。
MFA デバイスの設定ができました。
一度サインアウトして、ログイン時に MFA が求められるか試してみます。
IIC ダッシュボード画面の右に「AWS アクセスポータルの URL」が表示されているので、コピーして手元に残しておくか、ブックマークしてください。(この URL は Invitation のメールにも記載されています)
ブックマークできたら、サインアウトします。
「AWS アクセスポータルの URL」をクリックし、サインイン画面に遷移します。ユーザー名を入力して「次へ」をクリックします。
パスワードを入力し「サインイン」をクリックします。
MFA コードの入力を求められました。手元の MFA アプリで表示される 6 桁のコードを入力しサインインしてください。
3. IIC ユーザーで LogArchive アカウント、Audit アカウントにログイン試行する
AWS アクセスポータルに遷移すると、Control Tower 管理化に存在する AWS アカウントへのスイッチが可能になります。Log Archive アカウントのコンソールに遷移してみます。
ブラウザの別タブが開き、Log Archive アカウントにサインイン確認できました。S3 コンソールを見ると、ログを保存する S3 バケットが存在するのが分かります。
一旦サインアウトします。
AWS アクセスポータルのタブに戻ります。次は Audit アカウントに遷移します。
ブラウザの別タブが開き、Audit アカウントにサインイン確認できました。
Control Tower がデフォルトで作成する「AWS Control Tower Admin」ユーザーについて
Control Tower がデフォルトで作成する「AWS Control Tower Admin」というユーザーも存在し、こちらを使用して Control Tower や IIC の操作を実施することも可能です。
- ユーザー名:管理アカウントのメールアドレス
- 表示名:AWS Control Tower Admin
- MFA デバイス
このユーザーはデフォルトで以下の権限を持ちます。
- AWSControlTowerAdmins
- AWSAccountFactory
Control Tower の管理に必要な権限を付与した IIC ユーザーを別途準備いただければ、管理アカウントのメールアドレスで作成された表示名「AWS Control Tower Admin」は無効化もしくは削除していただいても問題ありません。
万が一必要な IIC ユーザーを削除してしまった場合は、AdministratorAccess
ポリシーが割り当てられた IAM ユーザーで Control Tower の管理アカウントにログインし、IIC ユーザーを再作成してください。