→認証技術
→Amazon Web Service
→AWS その他のサービス
→SSO関連 ←AWS SSO/IAM Identity Center についてはこちら
サブトピック†
- IAMは認証だけでなくリソースの権限管理の機能も併せ持つ
- API KEY(プログラムからAWS各種サービスを操作できる
- MFA…多要素認証
- ARN…AWS上のリソースを一意に特定するID
- プリンシパル…認証してエンティティを使う主体のこと。以下のいずれか
- 人(ユーザ、もしくはフェデレーテッドユーザ)
- アプリケーション
- IAMの管理単位
- IAMグループ…フラットな階層でしか管理できず、階層構造は持てない
- IAMユーザ
- IAMロール…EC2上で実行されるプログラムに実行権限を割り当てるのに使う、API KEYが要らなくなる
- プリンシパルエンティティ…プリンシパルがポリシーを付与する対象となるエンティティのことか?
- IAMエンティティ…プリンシパルエンティティと一部被っている?
IAMロール†
スイッチロール†
AssumeRole†
IAMユーザ管理†
- IAM ユーザーのパスワードの管理 - AWS Identity and Access Management
- AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
- ナビゲーションペインで [Users] (ユーザー) を選択します。
- パスワードを変更するユーザーの名前を選択します。
- [認証情報] タブを選択してから、[サインイン認証情報] で [Console password (コンソールパスワード)] の横の [パスワードの管理] を選択します。
- [Manage console access (コンソールアクセスの管理)] の [Console access (コンソールアクセス)] で、[Enable (有効化)] を選択します (まだ選択していない場合)。コンソールアクセスが無効になっている場合、パスワードは不要です。
- [Set password (パスワードの設定)] で、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。
- ユーザーに初回サインイン時に新しいパスワードの作成を求めるには、[Require password reset (パスワードのリセットが必要)] を選択します。次に、[Apply (適用)] を選択します。
重要
- [Require password reset (パスワードのリセットが必要)] オプションを選択した場合は、ユーザーが自分のパスワードを変更するアクセス許可を持っていることを確認します。詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。
フェデレーション†
- IDフェデレーション…使用頻度の低いユーザにアカウントを与えるのではなく一時的な認証を与え、短時間のみサービスへのアクセスを許す仕組み
- AWS Security Token Service (STS) と AWS フェデレーションは、どちらも一時的な権限付与の仕組みですが、使用用途や方法が異なる。
- STSは、AWSアカウントの代理人として操作を行うために使用されます。STSを使用すると、一時的なセキュリティトークンを取得して、アクセスキー、シークレットアクセスキー、セッショントークンを使用してAWSサービスにアクセスすることができる。
- AWS フェデレーションは、組織内のユーザーやシステムからAWSにアクセスするために使用する。
- AWS フェデレーションを使用すると、組織内の認証システムとAWSアカウントを連携させることができ、組織内のユーザーやシステムがAWSサービスにアクセスするために必要なアクセスキーやシークレットアクセスキーを取得することができる。
- ID プロバイダーとフェデレーション
- すでにユーザー ID を AWS の外で管理している場合、AWS アカウントに IAM ユーザーを作成する代わりに、IAM ID プロバイダーを利用できます。
- ID プロバイダー (IdP) を使用すると、AWS の外部のユーザー ID を管理して、これらの外部ユーザー ID にアカウント内の AWS リソースに対するアクセス許可を与えることができます。
これは、会社に既に企業ユーザーディレクトリなどの独自の ID システムがある場合に便利です。
- また、AWS リソースへのアクセスが必要なモバイルアプリやウェブアプリケーションを作成する場合にも便利です。
- フェデレーション(英:federation)とは、一度認証を通ればその認証情報を使って許可されているすべてのサービスを使えるようにする仕組み
MFA†
- 簡単に言うと、スマホなどにOTPツールを入れてそのパスワードを入れるような仕組みにする