AWS Re:Invent Security Recap AWS SSO
-
Upload
amazon-web-services-japan -
Category
Technology
-
view
3.240 -
download
0
Transcript of AWS Re:Invent Security Recap AWS SSO
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
アマゾンウェブサービスジャパン株式会社
西日本担当 ソリューションアーキテクト 辻 義一
AWS Single Sign-On (SSO)
2017.12.7 General Availabilityバージニア北部リージョンで提供開始
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
自己紹介
辻辻 義一義一(つじ(つじ よしかず)よしかず)
西日本担当西日本担当 ソリューションアーキテクトソリューションアーキテクト
簡単な経歴簡単な経歴
•• 大阪生まれの大阪育ち。大阪生まれの大阪育ち。
•• 独立系独立系SIerSIerでインフラエンジニア。でインフラエンジニア。
AWSAWSのすきな所のすきな所
〜〜 安い、早い、おもしろい安い、早い、おもしろい 〜〜
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
何が求められているか?
AWS リソース
権限コスト
を明確に分離したいプロジェクト単位
本番環境開発環境
エンドユーザ企業単位
IAMユーザとIAMポリシー
リソース タグ
AAAA PJ-ABBBB PJ-BCCCC PJ-A
使用状況レポートとタグ付け
要件によっては分離しきれない
方法1
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
何が求められているか?
AWS リソースを別々の AWS アカウントに分離
アカウントを越えて・データコピー・ネットワーク接続・一括請求も可能
ログインの手間権限管理の分散
権限コスト
を明確に分離したいプロジェクト単位
本番環境開発環境
エンドユーザ企業単位
方法2
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
何が求められているか?
複数の AWS アカウントに
シングルサインオンしたいビジネスアプリケーショへの
シングルサインオンをユーザに提供したい
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
そのためにどんな課題があるか?
既存の SSO ソリューションは AWS との連携が十分ではない
従来の SSO ソフトウェアは複雑で高価、専門知識が必要
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
AWS Single Sign-On (SSO)
AWS アカウントとビジネスアプリケーションへのシングルサインオン (SSO) を提供するクラウドサービス
複数 AWS アカウントのコ
ンソールにSSO アクセス
簡単に利用を始めれる
既存の社内 ID 基盤(Active Directory)
を活用する
ビジネスアプリケーションに
SSO アクセス
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
価格と提供リージョン
AWS SSO は 追加料金なし で利用可 AWS SSO の利用には AWS Directory Service との連携が必須。 Microsoft ADは$106.9〜/月、AD Connectorは$58.56-175.68/月。
2017/12/7 に General Availability現時点では バージニア北部リージョン(us-east-1) のみで提供
• AWS Directory Service も同一リージョンで設定が必要
AWS Organization のすべての機能を有効化が必要(全ての子アカウントで有効化の承認が必要)
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
対応内容
ユーザレポジトリ
Active Directory• AWS Directory Service の Microsoft AD あるいは AD Connector で連携
2要素認証 Directory Service に設定された RADIUS によるワンタイムパスワード
ログイン先
AWS Organizations の組織に内にあるAWS アカウントのマネージメントコンソール
SAML 2.0 対応アプリケーション
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
ユーザポータルにログイン
社内で使用しているのと同じユーザ名とパスワードを入力
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
利用できるアプリケーション一覧
管理者が登録、許可したアプリケーションのみ表示
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
複数のAWSアカウント
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
複数のパーミッションセット
同じAWSアカウントでも複数のパーミッションセットが選べる
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
AWSアカウントと権限指定
マスターAWSアカウント
AWS OrganizationsAWS Single Sign-OnAWS Directory Service
ActiveDirectory
設定ディレクトリ接続
オンプレミス
メンバーアカウント #1 メンバーアカウント #N
フル機能を有効にしたAWS Organizations を通じて組織内のAWSアカウントを指定
IAMポリシーと同じ文法とツールで
パーミッションセットを定義
定義とポリシーがメンバーアカウントに自動的に設定される
1
1
2
3 3
2
3
IAMロール&IAMポリシー
IAMロール&IAMポリシー
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
Active Directory 上のユーザを指定
マスターAWSアカウント
AWS OrganizationsAWS Single Sign-OnAWS Directory Service
ActiveDirectory
設定ディレクトリ接続
ユーザ&グループ
オンプレミス
メンバーアカウント #1 メンバーアカウント #N
AD 上のユーザやグループに
パーミッションセットを割り当て4
4
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
ログインフロー
マスターアカウント
AWS Single Sign-On
AWS SSO ユーザポータル
ActiveDirectory
ユーザ
パーミッションセット
オンプレミス
メンバーアカウント
AWS SSO ユーザポータル
をブラウザで開く
AWS SSO はパーミッションセット
に基いて許可されたアプリを表示
ユーザはメンバーアカウント内のIAM ロールとしてSSOログイン
リソースへのアクセスはAWS Organizations の SCP やIAM ポリシー で管理される
CloudTrail で監視や監査
AWS Directory Service
1
1
2 3
4
社内の認証情報を使ってログイン2
5
AWS ClodTrail
3
4
5
グループ
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
特徴
AWSアカウントへのSSOアクセス• AWS Organizations を使って、特定のAWSアカウントや組織ユニット内の全アカウントへのアクセスを指定
• 一般的な仕事の役割に基いてパーミッションを割り当て
• 個別のセキュリティ要件に適するようにパーミッションのカスタマイズも可能
• 1人に複数のAWSアカウントの複数のパーミッションを割り当て可能
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
アプリを登録
マスターカウント
AWS Single Sign-OnAWS Directory Service
ユーザ&グループ Active
Directory
ディレクトリ接続 アプリ
オンプレミス
AD 上のユーザやグループに
を割り当て
2 221
2
事前定義されているビジネスアプリあるいはカスタムアプリケーションを選択して登録
アプリケーションのメタデータを登録
13設定
3
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
特徴
SAML対応しているアプリケーションへのSSOアクセス
• SAMLが利用可能なビジネスアプリケーションへのSSOアクセスを設定
• 多くの主要なSaaSへの事前定義設定あり
• その他のSaaSや独自アプリケーションも登録可能
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
関連するその他のサービス・機能
AWS DirectoryService
AmazonCognitoUser Pool/
Federated Identity
モバイルアプリやSingle Page Application (SPA) 向けの認証機能
SAMLでアプリにSSOログインできるように連携
既存 Active Directory との連携、マネージドのActive Directory の実現
ADユーザにマネージメントコンソールへのログインを実現
AWS Identity and Access Manager
(IAM)
SAML での SSO ログインを受け付けてマネージメントコンソールへのログインや
一時クレデンシャルの提供
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
Active DirectoryとAWS Directory Serviceの連携方法
Option 1: Microsoft ADでオンプレミスのADと信頼関係を結ぶ
Option 3: AWS Microsoft ADをスタンドアロンで利用する
Option 2: AD ConnectorでオンプレミスのADと接続する
ActiveDirectory
Directory ServiceMicrosoft AD
LDAP,Kerberos,Referrals
信頼関係
ユーザ&グループ
ActiveDirectory
Directory ServiceAD Connectorサービス
アカウント
LDAP &Kerberosユーザ&
グループ
Directory ServiceMicrosoft AD
ユーザ&グループ
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
Internet
現時点で日本からバージニア北部リージョンでDirectory Serviceを使う方法
Option 1: VPC の インターネットVPNあるいはDirect Connet Gateway でバージニア北部リージョンと接続
Option 2: EC2上のインターネットVPNサーバでリージョン間を接続する
ActiveDirectory
ユーザ&グループ
ActiveDirectory
サービスアカウント
ユーザ&グループ
Directory ServiceAD Connector
Directory ServiceAD Connector
Directory ServiceMicrosoft AD
VPNServer
VPNServer
バージニア北部
東京
バージニア北部
東京
WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64
COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS
#1E8900 HELIUM #FF5746NEON #DF3312
WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000
AMAZON ORANGE #FF9900
AWS SSOはActive Directory上のユーザに対してSSOを提供。• 同一Oragnizations内のAWSアカウントのマネージメントコンソール
• SAML対応しているSaaSアプリケーション
SSO はセキュリティ向上と利便性向上の両方を実現でき、あらゆる企業におすすめ。