IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​

IDaaSを用いた複数AWSアカウントの ログインで良かったこと困ったこと 2018-10-17 JAWS-UG 初心者支部#14「AWS Night school & LT」 ニフティ株式会社 石川 貴之 1

名前 石川 貴之 Ishikawa Takayuki 所属 ニフティ株式会社 WEBサービス開発グループ AWS管理年数 10ヶ月（利用は1年半） 管理アカウント数 100弱 ● AWS管理者 最近の業務 ● Atlassian製品管理者 ● 自社サービスのAWS移行 自作キーボード（Helix, Mint60, ErgoDash） 最近のブーム 個人ブログ https://14code.com/blog/ 2 LTするならあったほう がカッコつくかと思って 先週取ってきました

• https://14code.com/blog/

ログインユーザー管理どうしよう 3

IAMユーザーで管理するのは厳しい ● 各アカウントごとにIAMユーザーを作成するの 面倒 ● IAMユーザーのアクセスキーをサービスに使われたら 面倒 ● IAMユーザーの命名規則合わせたりするルール強要 使う側も面倒 ● アカウントの棚卸し 面倒

どこで管理しよう

いろいろあってOneLoginに決定

OneLoginを用いた AWSコンソールログイン 7

OneLogin Single App ↓ AWS Single Account and Role 8

よくあった問い合わせ ● 〇〇が作れない・見れない ○ 踏み台アカウントで作業していてSwitchRoleするのを忘れている ● SwitchRoleできない ○ サービスアカウント間でSwitchRoleしようとしている （OneLoginから入り直してない） ● SwitchRoleするアカウントと Role名が分からない ○ ワンクリックでアカウントとRole名と色を入れるリンク集を用意してはいたが…… ○ 踏み台アカウントにログインから、そのURLへ遷移という流れが悪い

OneLogin Single App ↓ AWS Multiple Accounts and Roles 14

MultiAccount MultiRoleにした効果 ● 踏み台アカウントから SwitchRoleする手順が減った ○ 2度行きたい場所を選択することがなくなり1度になったので直感的 ○ 減ったのは2ステップだが分かりやすさは格段に上がった ● 権限がなくて〇〇ができない系問い合わせがほぼなくなった ○ ログインするRoleやOrganization SCPで制限している機能はあったが 事前周知していた＆あまり触らないところなので稀に問い合わせがあるくらい

OneLoginの 良かったところ困ったところ 19

OneLoginの良かったところ ● FREEプランがある、 SwitchRole式ならSTARTERプランでいい ○ 安価で使えるため部分導入して運用しながらなにが必要なのか調べられる ● Role Admin権限がある ○ Roleにユーザーを追加することでAWSの権限が得られるようにしている ○ 各サービス責任者をRole Adminにしている ● サポートがちゃんとしていた ○ 問い合わせ後、30分〜2時間くらいにはレスがある（Freeプランでも） ○ バグだと判明したら2,3ヶ月後には直してリリースしてくれる（可能性が高い）

OneLoginの困ったところ ● APIが足りない ○ 完全自動化したいのにAPIが足りていない ○ 要望issue はいくつか上がっているので vote しといた ● OneLoginのバグにそこそこ当たる ○ [5月] OneLoginのRoleに追加してもAWSの権限が付かない ● OneLoginのバグだった、サポートに問い合わせたら7月に修正リリース出してくれた ○ [7月] OneLoginのRoleに複数ユーザーを一度に追加できない ● 上記の修正リリースによるものかバグが増えた、なお上記のバグは直ってない ● 再度サポートに問い合わせ、10月の修正リリースどちらも直った

ほかのIDaaS使っている方いましたら あとで使用感など教えてもらえると 嬉しいです

23