*

Google Apps for WorkのアカウントからAWSにログインしてみた

   

どうも、Kです。

今回はGoogle Apps for WorkのアカウントからAWSにログインしようという、あまり需要なさそうなお話です。

<今回やりたい事>

Google Apps for WorkのSAMLアプリの機能を使って、AWSにログインします。

<事前に準備するもの>

・Google Apps for Workのアカウント
・AWSのアカウント

<Google Apps for WorkでSAMLアプリを作成>

最初にGoogle Apps for WorkでSAMLアプリを作成します。
1.Google Apps for Workの管理コンソールにログイン。
gazou2015122701
2.「アプリ」をクリック。
gazou2015122702
「SAMLアプリ」をクリック。
gazou2015122703

3.「サービスやアプリをドメインに追加」または画面右下にある「+」アイコンをクリックします。
gazou2015122704
4.「Amazon Web Services」をクリックします。
gazou2015122705
5.「IDPメタデータ」の「ダウンロード」をクリックし、「GoogleIDPMetadata-XXXXXX.xml」をダウンロードします。ダウンロードしたら「次へ」をクリック。
gazou2015122706

6.下記画面(ステップ3/5・ステップ4/5)が表示されますが、今回は特に設定しないので「次へ」をクリックします。
gazou2015122707
gazou2015122708

7. https://aws.amazon.com/SAML/Attributes/RoleSessionName に「基本情報」と「メインのメールアドレス」を、 https://aws.amazon.com/SAML/Attributes/Role に「従業員の詳細」と「役職」を指定し、「完了」をクリックします。
gazou2015122709

「完了」をクリックすると以下のような画面が表示されるので、「OK」をクリックして下さい。
gazou2015122710

8.このままの設定だと作成したSAMLアプリを誰も使えないので、「アプリ」>「SAMLアプリ」>「Amazon Web Services の設定」から「オン(すべてのユーザー)」を選択します。
gazou2015122711
「全てのユーザーに対してオンにする」をクリックし、ドメインの全てのユーザーに対してSAMLアプリをオンにします。
gazou2015122712
下記のように「オン(すべてのユーザー)」となっていれば、OKです。
gazou2015122713

ひとまずGoogle Apps for Work側の設定は完了です。
次はAWS側を設定していきます。

<AWSでIDプロバイダを作成>

1.IAMの管理画面( https://console.aws.amazon.com/iam/home#home )にログインします。画面左端にある「IDプロバイダ」をクリック。「プロバイダの作成」をクリックします。
gazou2015122714

2.下記のとおり入力し、「次のステップ」をクリック
プロバイダーのタイプ:SAML
プロバイダ名:任意の文字列(今回はgoogle-appsと入力)
メタデータドキュメント:「Google Apps for WorkでSAMLアプリを作成」の「5」でダウンロードした「GoogleIDPMetadata-XXXXXX.xml」を指定
gazou2015122715
3.「作成」をクリック。
gazou2015122716
下記のとおり表示されていれば、IDプロバイダの作成は完了です。
gazou2015122717

 

<AWSでIDプロバイダ用のIAMロールを作成>

1.IAMの管理画面( https://console.aws.amazon.com/iam/home#home )の画面左端にある「ロール」をクリック。「新しいロールの作成」をクリックします。
gazou2015122718

2.「ロール名」に任意の文字列を入力(今回はgoogle-apps-role)し、「次のステップ」をクリックします。
gazou2015122719

3.「IDプロバイダアクセス用のロール」の「 SAML プロバイダへのウェブシングルサインオン(WebSSO)アクセスを付与 」の「選択」をクリック。
gazou2015122720

4.「するには」に「AWSでIDプロバイダを作成」で作成したIDプロバイダを指定。「次のステップ」をクリック。
gazou2015122721

5.下記画面では何も設定変更しません。「次のステップ」をクリック。
gazou2015122722

6.ロールの権限を選択します。今回はAWSへのログイン確認だけ行いたいので、「ReadOnlyAccess」を選択。「次のステップ」をクリックします。
gazou2015122723

7.確認画面が表示されます。「ロールARN」と「信頼されたエンティティ」に記載されているARNをメモしておいて下さい(このARNは後の処理で使います)ロールの作成をクリック。
gazou2015122724

※ロールARN=IAMロールのARN
※信頼されたエンティティに記載されているARN=「AWSでIDプロバイダを作成」で作成したIDプロバイダのARN

8.下記のとおりロールが作成された事を確認します。
gazou2015122725

これでAWS側の設定は完了です。

<Google Apps for Workでユーザーの設定変更>

1.再び「Google Apps for Work」の管理コンソールにログインします。「ユーザー」をクリック。
gazou2015122726

2.ユーザー一覧から、AWSにログインさせたいユーザーを選択します。
gazou2015122727

3.「アカウント」をクリック。
gazou2015122728

4.「基本情報」の「編集」をクリックします。
gazou2015122729

5.「詳細」をクリック。
gazou2015122730

「次へ」をクリック。
gazou2015122731

「タイトル」に、「AWSでIDプロバイダ用のIAMロールを作成」の「7」でメモしたARNを下記の書式で記入。「ユーザーを更新」をクリック。

<書式>
「IDプロバイダのARN」,「IAMロールのARN」

gazou2015122732

従業員の詳細に「arn:aws:iam::AWSのアカウント番号:saml-provider/google-apps,arn:aws:iam::AWSのアカウント番号:role/google-apps-role」が表記されていればOKです。
gazou2015122733

これでGoogle Apps for Workのアカウントから、AWSにログインすることが出来るようになりました。

<動作確認>

Google Apps for Work のアカウントにログインし、Googleドライブを開きます(今回はGoogleドライブを開きましたが、アプリケーションの一覧が確認できるものなら何でも構いません)
アプリケーションの一覧にAWSが表示されていると思いますので、クリック。
gazou2015122734

すると
gazou2015122735

AWSにログインすることができるはずです!

 - AWS, Google Apps for Work

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

  関連記事

AWS
【AWS】Amazon KinesisをAWS CLIで使ってみた【使ってみた】

どうも、Kです。 今回はAmazon KinesisをAWS CLIで操作してみ …

AWS
【AWS】Resource GroupsとTag Editor【使ってみた】

どうも、Kです。 今回は「Resource Groups」と「Tag Edito …

AWS
Amazon VPCを作成してみた

たぶん新人ではないKです。 今回はAmazon VPCについて書いておこうと思い …