SAML IDプロバイダーとAWSのIAMロールを連携して、特定のサービスにのみアクセスできる

<h1>概要</h1>
社内のSAML IDプロバイダーとAWSを連携して、特定のサービスにだけアクセスできるようにする。前提として、<a href="https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_create_saml.html">IAMに該当するSAML IDプロバイダーは作成ずみ</a>とする。
流れとしては、以下の手順が必要となる。
<ol>
<li>IdP側でロールを作成する</li>
<li>IAM で SAML プロバイダーを作成する(今回はスキップ)</li>
<li>IAMでSAML用ロールを作成する</li>
<li>IdPソフトウェアを設定して、SAML信頼を確立する</li>
</ol>
<h1>CDK</h1>
<ol start="3">
<li>IAMでSAML用ロールを作成する</li>
</ol>
<div class="remark-highlight"><pre class="language-ts"><code class="language-ts">const role = new iam.Role(this, "MySamlRole", {
 roleName: "role name",
 description:
 "description",
 assumedBy: new iam.FederatedPrincipal(
 `arn:aws:iam::********:saml-provider/*********`, // 作成したSAMLプロバイダーのarnを指定
 {
 StringEquals: {
 "SAML:aud": "https://signin.aws.amazon.com/saml"
 }
 },
 "sts:AssumeRoleWithSAML"
 )
 });

 role.addManagedPolicy() // ←ここで任意の権限を付与
</code></pre></div>
<h1>参考</h1>
<ul>
<li><a href="https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html">SAML 2.0 フェデレーション用のロールの作成 (コンソール)</a></li>
<li>あとはIdP側のドキュメント</li>
</ul>

masatora.net

SAML 2.0 フェデレーション用のIAMロールをCDKで作る

概要

CDK

参考