AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024
2024 年 7 月 31 日 にクラスメソッドの大阪オフィスで開催された DevelopersIO 2024 OSAKA において「AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理」というタイトルで話しました。
本ブログで資料を公開します。
登壇資料
次の内容について記載しています。
- マルチアカウントのユーザー管理の課題
- IAM ユーザーの一元管理の基礎
- IAM ユーザーの一元管理のテクニック集
- AWS Extend Switch Roles を利用したスイッチロール設定の管理
- スイッチロールの条件として MFA 有無と送信元 IP アドレスを指定
- スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可
- アクセスキーの利用
- AWS CloudFormation を利用した IAM ロールの設定
- 外部 ID プロバイダとの連携 (Microsoft Entra ID との連携)
- AWS IAM Identity Center と組み合わせた利用
- 未利用の IAM ユーザーの無効化
- ABAC (属性ベースのアクセス制御) の設定
参考資料
資料上の「IAM ユーザーの一元管理のテクニック集」で参照している主な参考資料を記載します。
AWS Extend Switch Roles を利用したスイッチロール設定の管理
スイッチロールの条件としてMFA 有無と送信元 IP アドレスを指定
スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可
アクセスキーの利用
- IAM初心者がAWS CLIでスイッチロールするまで | DevelopersIO
- マネコン起動もできるAWSのスイッチロール用CLIツール「AWSume」の紹介 | DevelopersIO
- AWS CloudChell の参考資料
AWS CloudFormation を利用した IAM ロールの設定
外部 ID プロバイダとの連携(Microsoft Entra ID との連携)
AWS IAM Identity Center と組み合わせた利用
未利用の IAM ユーザーの無効化
ABAC (属性ベースのアクセス制御) の設定