はじめに

AWSのマネジメントコンソールログイン連続失敗時のアカウントロックの実現方法について、ご紹介いたします。

本エントリーは、以下の第二回目となります。

https://iret.media/94747

マネジメントコンソールログイン連続失敗時のアカウントロックの実現案としては、以下の方法があります。

  1. AWS Directory Serviceによるアカウントロック機能の実装
  2. ADFS +AWS Directory Serviceを利用した方法
  3. CloudTrail +Lambda +DynamoDB +CloudWatchを利用した方法

前回の第一回目は、1.AWS Directory Serviceによるアカウントロック機能の実装方法をご紹介いたしました。

今回は、2.ADFS +AWS Directory Serviceを利用した方法についてご紹介いたします。

※一回目のエントリーでは、Cognito+AWS Directory Serviceを利用した方法としていましたが、ADFS+AWS Directory Serviceに変更いたします。

2.ADFS +AWS Directory Serviceを利用した方法

ADFSとAWS Directory Serviceを利用し、アカウントロック機能を実現させる方法をご紹介いたします。

  1. AWS Directory Serviceのユーザを設定。このユーザーにて、マネジメントコンソールへのログインを実施する想定
  2. ADFSを利用するためのADFS用サーバーを一台構築する
  3. ADFS用サーバーを「1」のAWS Directory Serviceのドメインに参加させる
  4. ADFS用サーバーにて、ADFS各種機能設定
    • ※この辺は、後日実際に検証を行い、やってみた記事でご紹介したいと思います。
  5. AWSに、外部IdpとしてADFSのメタデータを登録。
    • マネジメントコンソールログイン次に、SAML認証可能な状態へと設定を行う
  6. アカウントロック機能については、AWS Directory Service側のポリシーを適用させる

特徴

  • システム構成にAWS Directory Serviceを利用している場合、その資産を利用してマネジメントコンソールへログインさせることができる。
  • マネジメントコンソール操作時に、IAMとしてユーザー管理を行いたくない要件などに適している
  • ただし、ADFSサーバーが必要となるため、その分の管理工数は必要となる。

まとめ

次回の記事では、実際にやってみた記事をご紹介したいと思います。