はじめに
AWSのマネジメントコンソールログイン連続失敗時のアカウントロックの実現方法について、ご紹介いたします。
本エントリーは、以下の第二回目となります。
マネジメントコンソールログイン連続失敗時のアカウントロックの実現案としては、以下の方法があります。
- AWS Directory Serviceによるアカウントロック機能の実装
- ADFS +AWS Directory Serviceを利用した方法
- CloudTrail +Lambda +DynamoDB +CloudWatchを利用した方法
前回の第一回目は、1.AWS Directory Serviceによるアカウントロック機能の実装方法をご紹介いたしました。
今回は、2.ADFS +AWS Directory Serviceを利用した方法についてご紹介いたします。
※一回目のエントリーでは、Cognito+AWS Directory Serviceを利用した方法としていましたが、ADFS+AWS Directory Serviceに変更いたします。
2.ADFS +AWS Directory Serviceを利用した方法
ADFSとAWS Directory Serviceを利用し、アカウントロック機能を実現させる方法をご紹介いたします。
- AWS Directory Serviceのユーザを設定。このユーザーにて、マネジメントコンソールへのログインを実施する想定
- ADFSを利用するためのADFS用サーバーを一台構築する
- ADFS用サーバーを「1」のAWS Directory Serviceのドメインに参加させる
- ADFS用サーバーにて、ADFS各種機能設定
- ※この辺は、後日実際に検証を行い、やってみた記事でご紹介したいと思います。
- AWSに、外部IdpとしてADFSのメタデータを登録。
- マネジメントコンソールログイン次に、SAML認証可能な状態へと設定を行う
- アカウントロック機能については、AWS Directory Service側のポリシーを適用させる
特徴
- システム構成にAWS Directory Serviceを利用している場合、その資産を利用してマネジメントコンソールへログインさせることができる。
- マネジメントコンソール操作時に、IAMとしてユーザー管理を行いたくない要件などに適している
- ただし、ADFSサーバーが必要となるため、その分の管理工数は必要となる。
まとめ
次回の記事では、実際にやってみた記事をご紹介したいと思います。