状況想定

• Main組織 : プロダクトAを運営する会社
  企画・デザイン・開発の部署あり。小人数ではない
  • Google Workspace 高めエディション (*1)
• 業務委託メンバー数名ほど（リモート・関東）
  • Google Workspace Business Starter
• 協力会社メンバー数名ほど（リモート：関東以外）
  • IdP 特になし
    • カレンダー共有は個人のGmailなど

IAM Identity Center 導入の
モチベーション

課題解決への一手

• GW 高めエディションに下位組織を設けて
  業務委託・協力会社メンバーをそこに投入
• この下位組織には Google Cloud Identity Free
  (以降 GCIF)の無料ライセンスを割り当てる (*2)

組織と AWS の紐付け

• 管理アカウントで AWS Organizations を有効化
• 前提条件 を確認したうえで、SSO (*3) を有効化
• ID ソースを選択する
  • サポートされている ID プロバイダー に GW はない
  • ので、手動で SAML 連携設定を行う (*4)

許可セット (IAM) の準備

• ユーザー追加
  • ユーザー名 と E メールアドレス は同じにする
• ユーザーが所属するグループを作成
  • 権限（≒許可セット）がわかりやすいようにすると良い
• 許可セットを作成
  • 事前定義された許可セットから選択 (*5) or
  • カスタマイズされたIAMポリシー（カスタム許可セット）(*6)

許可セットを割り当てる

• SSO アクセスを行いたい AWSアカウント に レ
• 「ユーザーまたはグループを割り当て」を行う
  • 割り当てたいグループ or ユーザーに レ して「Next」
  • 割り当てたい許可セットに レ して「Next」
  • 確認して「送信」

GCIFの開始

• 特権管理者で、GW 管理画面に入る
• お支払い > その他のサービスを… > Cloud Identity
• Cloud Identity (*7) を「開始」

Free組織にGCIFライセンス割当

• お支払い > ライセンスの設定
• Main組織の 自動ライセンス -> オフ (*8)
• ディレクトリ > 組織部門
• Main組織の配下に新しいFree組織を作成する (*9)
• (再び) お支払い > ライセンスの設定
• 作成したFree組織の自動ライセンス オフ を確認

Free組織にユーザー追加

• ディレクトリ > ユーザー > 新しいユーザーの追加
• ユーザー情報の設定
  • 姓・名・メールアドレス・ドメイン
• ユーザーの…、組織部門、…を管理するを展開
  • Free組織を選択して「新しいユーザーの追加」
    • ユーザー名・パスワードを控える（伝える）
• お支払い > サブスクリプション を確認
  • 有料ライセンス割り当て数が増えていたら直す (*10)

SSOでFree組織メンバー追加

• Main組織と同様にユーザー追加
  • ユーザー名 と E メールアドレス は同じにする
• Main組織と同様にグループにユーザーを追加
  • 既存であればこの段階で許可セットが割り当てられる
• 必要に応じて、許可セットを割り当て
  • 新規グループ (or ユーザー) の場合など

Main組織と同様にできること

• AWS アクセスポータルの URL から SSO
  • GW からのマネコン接続も
• 権限に応じた、AWS リソースの利用
  • デフォルトの PowerUserAccess のみだと
    IAM リソース操作に制約があるので
    必要に応じて IAMFullAccess ポリシーを
• 請求管理画面への閲覧制限なども
  許可セット設定次第で可能

当初のモチベーション等への達成

• アカウント管理の簡素化 ○
• アクセスキー類漏洩のリスク低減 ◎
• ログイン操作の手間低減 ○
• 余計な IAM ユーザー作成不要 ○
• 時流に乗る ◎
• GW のコストは（ほぼ）増えていない ○

マネコンへの入り口は開いた

• AWSアカウント作成時にやるべきこと を見直す
• マルチアカウント管理の基本 を抑えにいく
  • 大変そうだ・・・少しずつやるのが良さそう (*11)
    
    
• 組織のみんなにAWSをうまく使ってもらえれば
  それでOK

GCIF以外の方法も知る

• フェデレーティッド シングルサインオン (*12) x
• 踏み台アカウントパターン (*13)
  
  -> AWS SSO (IAM Identity Center) よりは煩雑と
  なるものの、IAMユーザーはほぼ不要にできる

(個人的には)MFA不要な方法に寄せたい

よりよい管理の模索

• IaC で状態管理

  • cloudposse/terraform-aws-sso Module
  • cloudposse/aws-google-auth Module
  • など …

• IAM インラインポリシーを自在に使いたい

  • AWS Identity and Access Management Documentation からの果てなき道…

まとめ (?)

• AWS SSO のはじめかた、
  それによって解決できる課題
  
  
• GCIF という IdP の紹介、
  利用する際の注意点
  
  
• 複数の情報・技術を組み合わせてみる
  ことから生まれる発展可能性

余談

End

お気づきの点あれば
@sogaoh まで