AWSへのログインをAWS SSOに移行しました
見出し画像

AWSへのログインをAWS SSOに移行しました

スライド画像:おしながき。 1. note の AWS アカウントとログイン2. AWS SSO とは、使い方 3. 権限について 4. 現行のログインとの切り替えスケジュール

スライド画像:今日のポイント。 AWS へのログインが手軽になる、AWS Single Sign-On ご用意しました、ぜひ使ってあげてくださいよろしくお願いします!

ウイスキーが好きなSREチームの加藤です。

noteで使用しているAWSへのログインを「IDとパスワード認証 + MFA」から、「AWS SSO(シングルサインオン)」に移行した話を今日はしていきたいと思います。AWS SSOは簡単に言えば、複数AWSアカウントへのログインを一括管理できるサービスです。

※ この記事はnote社内で行われているLT大会の内容を再編した内容になります

スライド画像:ログインは IAM ユーザー。ID/PW認証。飯野さんの温かみある職人仕事で、ログイン情報をメール送信。MFA 必須

移行前は、各AWS アカウントにログインする度に、IDとパスワードを入力して、スマホを取り出し一時キーを確認してMFA認証を通す必要がありました。この方法では、各アカウントごとに ID / パスワードを管理する必要があり漏洩リスクがある他、運用負荷が高いという難点もありました。

スライド画像:(不満の声)「アカウントごとにログインURLが違う切り替えがめんどい...」「メンバー増えるごとにユーザー発行が段々たいへんに...」「毎回 MFA 認証通すのしんどい...」「なかなか AWS アカウント増やせない...」

IAMユーザの払い出しは、入社するエンジニアに個別でメールを送っていました。SREチームのリーダーである飯野さんからの温かみのあるメールを覚えている社員もいるかもしれません(笑)。

また、MFA認証を通すためにアカウントログインの度にスマホを操作する必要があったため、人によっては面倒くさいと感じる人もいたでしょう。

スライド画像:AWS SSOはじめます

ということで、AWS SSOを導入して、そういったわずらわしい運用を自動化することに決めました。

スライドの画像:AWS SSO = AWS Single Sign-On。AWS の複数アカウントへのログインを一括管理できるサービス。OneLogin から SAML 認証できるため、自動でユーザー発行・すぐ使える。各アカウントログイン時の MFA 認証はなくし、楽に扱えるように。AWS アカウントを新規作成してもユーザー発行の手間がなくなるため、AWS アカウントの作成が気楽にできるように

noteではOneLoginを使って各サービスへのログインを行っているため、AWS SSOも連携して利用しています。

OneLoginからSAML認証ができるため、メンバーがジョインした時も自動でユーザーを発行してAWSにすぐにログインしてもらうことができます。またエンジニアの皆さんは、各アカウントへログインする際のMFA認証も必要なくなり、ただ使いたいアカウントを選ぶだけでログインできるようになりました。

AWS SSOでのログイン画面

ログインの画面はシンプルです。クリックするとログイン用の各アカウントが表示されます。非常に手軽に扱えるのがわかるんじゃないかなと思います。

AWS SSOを利用して自動でコードを入れる画面

% aws sso configure

ブラウザだけではなく、CLIでのログインも簡単になりました。コマンドを入力すると、ブラウザが自動で立ち上がって認証コードの入力も行ってくれます。

% aws s3 ls --profile <profile_name>

ログインができたら移行前と同じようにプロファイルを指定してコマンドを実行することができます。

AWS SSOの権限については、移行前のIAMユーザーの権限をそのまま反映させています。操作が制限されることはほぼないでしょう。

% aws sso login --profile <profile_name>

aws sso configureは初期設定のコマンドです。セッションが切れてしまったときは上記のコマンドで簡単にログインし直すことができます。

CLIからでも簡単にログインできることがわかったかと思います。ただし、AWS CLIのバージョンが2系でのみ動作するため注意が必要です。

スライド画像:切り替えスケジュール。今すぐIAMログインができなくなるわけではありません。10/22 (金)まで: IAM / SSO 並行期間 。10/25(月) 以降:IAM ユーザー無効化。11/1 以降:IAM ユーザー順次削除、SSO に完全移行

今回のAWS SSOへの移行は、最初から全社的に行っていたわけではなく、一部のチームにテスト運用してもらっていました。noteの「すばやく試そう」というバリューを実行できた成果もあり、移行はスムーズに行えたかと思います。

また、すぐに現行の認証を使えないようにしたのではなく、移行期間に余裕を持たせることにしました。SSOでのログインを使い慣れてもらう目的と、業務で困ったことや使いづらかった部分のフィードバックをもらう機会として設定しました。

▼移行発表時の社員の感想

都度、MFA通さなくていいのは嬉しい
複数AWSアカが前提になってるので助かりますね
革命起きたわ


ログイン方式が変わってくるといろいろと困ることも出てくるかもしれないため、なにかあればSREチームのメンバーにお知らせください。また、「もっとこうしてほしい」などの意見も大歓迎ですので、ご連絡いただければありがたいです。


▼エンジニアの記事をさらに読みたい方はこちら

▼noteを一緒に作りませんか?


最後まで読んでくれた方へ。note社の様子や採用情報などをTwitterで発信しています。

noteは、2014年4月7日に生まれました。
“だれもが創作をはじめ、続けられるようにする。“をミッションに、表現と創作の仕組みづくりをしています。note(ノート)では、クリエイターが各自のコンテンツを発表してファンと交流することを支援しています。cakes(ケイクス)は、cakes発のベストセラーを多数輩出しています。