SAML IDプロバイダーとAWSのIAMロールを連携して、特定のサービスにのみアクセスできる


# 概要

社内のSAML IDプロバイダーとAWSを連携して、特定のサービスにだけアクセスできるようにする。前提として、[IAMに該当するSAML IDプロバイダーは作成ずみ](https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_create_saml.html)とする。

流れとしては、以下の手順が必要となる。
1. IdP側でロールを作成する
2. IAM で SAML プロバイダーを作成する(今回はスキップ)
3. IAMでSAML用ロールを作成する
4. IdPソフトウェアを設定して、SAML信頼を確立する

# CDK
3. IAMでSAML用ロールを作成する
```ts
const role = new iam.Role(this, "MySamlRole", {
      roleName: "role name",
      description:
        "description",
      assumedBy: new iam.FederatedPrincipal(
        `arn:aws:iam::********:saml-provider/*********`, // 作成したSAMLプロバイダーのarnを指定
        {
          StringEquals: {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
          }
        },
        "sts:AssumeRoleWithSAML"
      )
    });

    role.addManagedPolicy() // ←ここで任意の権限を付与
```

# 参考
- [SAML 2.0 フェデレーション用のロールの作成 (コンソール)](https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
- あとはIdP側のドキュメント

SAML 2.0 フェデレーション用のIAMロールをCDKで作る

別のAWSアカウントで管理しているドメインのサブドメインを、別のアカウントのHosted Zoneに権限委譲する


## 概要
別のAWSアカウントで管理しているドメインのサブドメインを、別のAWSアカウントで使いたい。そんな時は、サブドメインを別のAWSアカウントのHosted Zoneに権限委譲すれば良い。それをCDKで行う手順をまとめる。

例として、以下のような状態を想定する。
- AWSアカウント1(ドメインを管理している)
  - masatora.com
- AWSアカウント2(委譲先)
  - stg.masatora.com←使いたいサブドメイン

## 手順とCDK
1. AWSアカウント2(委譲先)でホストゾーンを作成する
```ts
private createBuyerAJAVisionZone() {
    return new route53.PublicHostedZone(this, 'HostedZone', {
        zoneName: 'stg.masatora.com',
    })
}
```
2. 1で作成されたホストゾーンのNSレコードの値をコピー
3. AWSアカウント1(ドメインを管理している)でNSレコードを作成する
```ts
new route53.NsRecord(this, 'NsRecord', {
    zone: hostedZone,
    recordName: 'stg',
    values: [
    // ここに2でコピーしたNSレコードの値を入れる(4つある。追加も削除もせず全部入れることを推奨
    ],
})
```

## 参考
- ほぼこれを見ながらやった→[[Route 53] 別のAWSアカウントでサブドメインを使えるように権限移譲する](https://dev.classmethod.jp/articles/route53-transfer-hostedzones-2021/)
- [Amplifyのカスタムドメインの設定](https://docs.aws.amazon.com/ja_jp/amplify/latest/userguide/custom-domains.html)
    - 今回はAmplifyに設定したかったので。AmplifyではSSL/TLS証明書は自動発行・更新してくれる。
- https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/SOA-NSrecords.html

masatora.net