개막사

AWS는 IAM User와 같은 사용자 관리 기능을 갖추고 있으며, AWS 계정 내에서도 사용자 관리를 할 수 있다.
다만 G서킷을 사용하는 환경에서 구성원이 늘어날 때 구글 계정을 발행하고 AWS IAM 사용자를 발행하면 노동시간이 발생함에 따라 유출 위험도 높아진다.
따라서 SSO를 통해 Google 계정으로 AWS 계정에 로그인해 봅니다.
AWS와 Google(G Suite)은 SAML을 통해 이를 쉽게 구현할 수 있습니다.
여기의 상세한 설명은 잠시 접어두고SAML 환경은 IdP(관장 인증)와 SP(서비스 제공)로 구성되어 있다.
여기서 G Suite는 IdP이고 AWS는 SP입니다.
구성도로서 AWS 문서의 SSO와 관련된 여러 곳에서 볼 수 있으며 다음은 간단하고 이해하기 쉽다.

또한 그림에는 "AWS SSO Endpoint"표시가 있지만 이번 단계에서는 "AWS SSO"를 사용하지 않습니다.
보다 세부적인 제어가 필요한 경우 "AWS SSO"(최종 요약도 기재)를 사용합니다.

선언2

대체로 이 사이트의 절차에 따라 실현할 수 있다.다만, 현재(2020년 8월 10일) 환경에 차이가 있기 때문에 단계별로 진행할 때 주의사항을 보완해 다음 단계를 기재해야 한다.
https://support.google.com/a/answer/6194963?hl=en

한 걸음 한 걸음 보충 요점

Before you begin

다음 단계에서 태그에 대한 링크가 없습니다.
그러나 사용자 목록의 오른쪽 위 모서리에 있는 "More"에서는 "Manage Custom Attribute"라는 두 링크가 혼합된 링크에서 단계를 수행할 수 있습니다.
3 At the top of Users list, click Manage user attributes User attributes.
4 At the top right, click Add Custom Attribute.
이런 면에서는 다소 차이가 있지만 구글에만 국한된 것이 아니라 웹 UI의 태그도 공식적인 스텝북과 다르게 미묘하게 업데이트됐다.

Step 4: Enable the Amazon Web Services app

솔직히 영어로 읽든 일본어로 읽든 여기 쓴 글은 언어로 이해하기 어렵다.
또 이 점만으로는 5단계 검증을 통과하기에는 부족하다.
인증할 사용자(Chrome를 사용한 경우 로그인 중인 사용자 계정)에 역할을 설정해야 합니다(6단계 준비에 해당).
2단계 AWS 측에서 준비한 캐릭터군(※)의 등장이다.
(※) 다음 두 가지 형태.
- arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleApps
G Suite의 사용자 목록 테이블에서 인증할 사용자 링크를 엽니다.
"User Information"을 열면 "Amazon"이라는 항목이 표시됩니다.또한 이 때 Role은 설정되지 않은 상태일 수 있습니다.
이 역할을 편집하고 두 번째 단계에서 만든 두 역할 ARN을 쉼표 구분자로 설정합니다.
따라서 5단계 검증 및 Google Apps에서 AWS 관리 콘솔에 로그인할 가능성이 커집니다.)

총결산

저는 개인적으로 사용자에게 캐릭터를 설정하는 것은 함정이라고 생각합니다. 이외의 절차는 모두 예의가 바르고SAML과 SSO에 대해 잘 이해하지 못하더라도 제목을 실현할 수 있지만 SSO의 구조는 스스로 조작해서 깊이 이해할 수 있다고 생각합니다.
이번 조치는 AWS 계정과 Google 계정이 각각 설정한 것입니다.
여러 AWS 계정 처리, 가입자 수 증가 등은 비즈니스 성장 과정에서 엄격해진다.
AWS SSO 등을 활용하는 메커니즘을 구축할 필요가 있다.
그리고 그 방면의 기사를 썼으면 좋겠다고 생각합니다.