GSuiteのアカウントがあればAWSのユーザーは不要だった件


表題の通り、GSuiteのアカウントがあればAWSのユーザーは不要だったことに気がつきました。

SAMLを使ったシングルサインオンを使えば、GSuiteのアカウントでAWSにログインすることができます。

設定方法は実は全てこちらのページに書いてあるのですが、いくつか分かりづらい点があったので補足します。

G Suite アカウントを用いた AWS へのシングルサインオン | AWS Startup ブログ

  1. Step2の5番の属性のマッピング設定について
    SessionDurationは指示通りhttps://aws.amazon.com/SAML/Attributes/SessionDurationと入力します。他のRoleSessionNameとRoleは既定のURLで大丈夫です。

  2. Step5の2番のAWSの項目の入力について
    Roleの項目が一つ余分に出てきますが、指示通りカンマ区切りで1つの項目に入力すればOKです。
    複数項目あるからと言ってRole ARNとIDプロバイダーのARNをそれぞれ分けて入力したところエラーとなってしまいました。

  3. CLIからのアクセス(アクセスキー)について
    これもこちらの記事に書かれていますが補足があります。
    saml2awsでSAML認証を用いたaws cliの利用を簡単にした - Qiita

設定時にSAML認証用のURLが必要で、パラメータにidpidspidがあります。
少し迷ったのですが、idpidはAWSにアップロードする際のファイルの中に書いてあります。
spidについてはSAMLアプリ設定画面(下記画像)のURLにあるservice=のあとに続く数字のようでした。