GSuiteのアカウントでAWSマネジメントコンソールにログインする(SAML)

はじめに

イーツー・インフォでは、AWSの複数アカウントを運用しています。そういえばReadOnlyのアカウント作ってないなーと思って作り始めたのですが、ちょうどいいタイミングで「G Suite アカウントを用いた AWS へのシングルサインオン」という記事が投稿されました。かっこよすぎ。
会社でGSuiteを使っていることもあり、さっそくやってみました。

以下の情報が必要になります。

G Suite Basic,G Suite Business,G Suite Enterpriseいずれかのプラン（有料）
GSuite管理者アカウント
IAMユーザーを作成できるAWS権限

連携の方法(SAML)

GoogleがサポートしているSAMLという方法でログイン連携（シングルサインオン）をおこないます。SAMLはSecurity Assertion Markup Languageという、HTTPやSOAPでやり取りをおこなう方式です。

G Suite アカウントを用いた AWS へのシングルサインオン」より引用

GSuiteのユーザー属性の追加

管理コンソールでユーザー画面を開き、カスタム属性の追加を選択します。

以下の通りカスタム属性を追加します。

GSuiteのSAMLの有効化

続いてGSuiteでSAMLを有効化します。
管理コンソールで「アプリ」を選択します。

右下の＋ボタンでアプリケーションを追加します。
AWSのアプリケーションを追加すると下の画像のようになります。

証明書をダウンロードします。あとで使います。

属性のマッピング情報を追加します。AWSの説明のとおり、標準ではセッションの有効期間が1時間となっているため、変更したい場合はSession Durationを設定します。変更しない場合は不要です。

また、デフォルトの Session の有効期間は1時間であり、作業中に切れることも多いかと思います。パラメータで可変にするためには属性名に https://aws.amazon.com/SAML/Attributes/SessionDuration を設定し、値に “Session Duration” を設定します。