→認証技術
→Amazon Web Service
→AWS その他のサービス
→SSO関連 ←AWS SSO/IAM Identity Center についてはこちら
サブトピック†
- 【2024年】AWSアカウントの rootユーザーでしかできないことをまとめてみた | DevelopersIO 2024.5
- ここでいうrootユーザとは、AWSに契約したときに最初に付与されるアカウントのこと。
- rootユーザーでしかできない主な操作は以下の通り
- アカウント情報の変更(名前、メールアドレス、パスワード等)
- IAMユーザーの管理者権限の復元
- アカウントの解約
- 請求情報の参照、サポートプランの変更
- 支払いオプション(クレジットカード情報)の変更・削除
- AWS GovCloud(US)アカウントの作成
- EC2 リザーブドインスタンスの売却
- S3 バケットのMFA削除保護の有効化、バケットポリシーの編集・削除
- SQS リソースポリシーの編集・削除
- IAMは認証だけでなくリソースの権限管理の機能も併せ持つ
IAMロール†
スイッチロール†
AssumeRole†
IAMユーザ管理†
- IAM ユーザーのパスワードの管理 - AWS Identity and Access Management
- AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
- ナビゲーションペインで [Users] (ユーザー) を選択します。
- パスワードを変更するユーザーの名前を選択します。
- [認証情報] タブを選択してから、[サインイン認証情報] で [Console password (コンソールパスワード)] の横の [パスワードの管理] を選択します。
- [Manage console access (コンソールアクセスの管理)] の [Console access (コンソールアクセス)] で、[Enable (有効化)] を選択します (まだ選択していない場合)。コンソールアクセスが無効になっている場合、パスワードは不要です。
- [Set password (パスワードの設定)] で、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。
- ユーザーに初回サインイン時に新しいパスワードの作成を求めるには、[Require password reset (パスワードのリセットが必要)] を選択します。次に、[Apply (適用)] を選択します。
重要
- [Require password reset (パスワードのリセットが必要)] オプションを選択した場合は、ユーザーが自分のパスワードを変更するアクセス許可を持っていることを確認します。詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。
フェデレーション†
- IDフェデレーション…使用頻度の低いユーザにアカウントを与えるのではなく一時的な認証を与え、短時間のみサービスへのアクセスを許す仕組み
- AWS Security Token Service (STS) と AWS フェデレーションは、どちらも一時的な権限付与の仕組みですが、使用用途や方法が異なる。
- STSは、AWSアカウントの代理人として操作を行うために使用されます。STSを使用すると、一時的なセキュリティトークンを取得して、アクセスキー、シークレットアクセスキー、セッショントークンを使用してAWSサービスにアクセスすることができる。
- AWS フェデレーションは、組織内のユーザーやシステムからAWSにアクセスするために使用する。
- AWS フェデレーションを使用すると、組織内の認証システムとAWSアカウントを連携させることができ、組織内のユーザーやシステムがAWSサービスにアクセスするために必要なアクセスキーやシークレットアクセスキーを取得することができる。
- ID プロバイダーとフェデレーション
- すでにユーザー ID を AWS の外で管理している場合、AWS アカウントに IAM ユーザーを作成する代わりに、IAM ID プロバイダーを利用できます。
- ID プロバイダー (IdP) を使用すると、AWS の外部のユーザー ID を管理して、これらの外部ユーザー ID にアカウント内の AWS リソースに対するアクセス許可を与えることができます。
これは、会社に既に企業ユーザーディレクトリなどの独自の ID システムがある場合に便利です。
- また、AWS リソースへのアクセスが必要なモバイルアプリやウェブアプリケーションを作成する場合にも便利です。
- フェデレーション(英:federation)とは、一度認証を通ればその認証情報を使って許可されているすべてのサービスを使えるようにする仕組み
MFA†
- 簡単に言うと、スマホなどにOTPツールを入れてそのパスワードを入れるような仕組みにする