# IAM チュートリアル: CloudFormation テンプレートを使用して SAML フェデレーション IAM ロールを作成する
AWS アカウントで既存の SAML ID プロバイダー (IdP) を設定している場合は、その IdP を信頼するフェデレーション IAM ロールを作成できます。このチュートリアルでは、CloudFormation テンプレートを使用して、外部 IdP で認証されたユーザーが引き受けることができる SAML フェデレーション IAM ロールを作成する方法を説明します。
このテンプレートは、SAML IdP がロールを引き受けることを許可する信頼ポリシーを持つフェデレーション IAM ロールを作成します。外部 IdP によって認証されたユーザーは、このロールを引き受けて、ロールにアタッチされたアクセス許可に基づいて AWS リソースにアクセスできます。
デプロイされたリソースは、以下で構成されます。
+ 既存の SAML IdP を信頼するフェデレーション IAM ロール。
+ 特定のアクセス許可を付与するためにロールにアタッチできる設定可能なマネージドポリシー。
+ オプションのアクセス許可の境界とセッション期間の設定。
## 前提条件
このチュートリアルでは、以下を実行済みであることを前提としています。
+ AWS アカウントに設定された既存の SAML IdP。ない場合は、[IAM チュートリアル: CloudFormation テンプレートを使用して SAML ID プロバイダー (IdP) を作成する](tutorial_saml-idp.md) チュートリアルを使用して作成できます。
+ SAML IdP の ARN。スタックの作成時にパラメータとして指定する必要があります。
+ このチュートリアルで IdP の SAML メタデータ XML ファイルをフォーマットするために使用する Python コマンドを実行するには、ローカル マシンに Python 3.6 以降がインストールされている必要があります。
## CloudFormation を使用して SAML フェデレーションロールを作成する
SAML フェデレーションロールを作成するために、CloudFormation テンプレートを作成し、それを使用してロールが含まれるスタックを作成します。
### テンプレートを作成する
まず、CloudFormation テンプレートを作成します。
1. [テンプレート](#tutorial_saml-federated-role-template) セクションで、**[JSON]** または **[YAML]** タブのコピーアイコンをクリックして、テンプレートの内容をコピーします。
1. テンプレートの内容を新しいファイルに貼り付けます。
1. ファイルをローカルに保存します。
### スタックを作成します。
次に、保存したテンプレートを使用して CloudFormation スタックをプロビジョニングします。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。
1. **[スタック]** ページでは、**[スタックの作成]** メニューで **[新しいリソースを使用 (標準)]** を選択します。
1. テンプレートを指定します。
1. **[前提条件]** で、**[既存のテンプレートを選択]** を選択します。
1. **[テンプレートの指定]** で、**[テンプレートファイルのアップロード]** を選択します。
1. **[ファイルを選択]** を選択し、テンプレートファイルに移動して選択します。
1. [**次へ**] を選択します。
1. 次のスタックの詳細を指定します。
1. スタック名を入力します。
1. **[SAMLProviderARN]** には、既存の SAML IdP の ARN を入力します。これは `arn:aws:iam::123456789012:saml-provider/YourProviderName` 形式である必要があります。
例:`arn:aws:iam::123456789012:saml-provider/CompanyIdP`
**注記**
[IAM チュートリアル: CloudFormation テンプレートを使用して SAML ID プロバイダー (IdP) を作成する](tutorial_saml-idp.md) チュートリアルを使用して SAML IdP を作成した場合は、その CloudFormation スタックの [出力] タブにプロバイダー ARN が表示されます。
1. **[RoleName]** では、空のままにするとスタック名に基づいて名前を自動生成できます。または、IAM ロールのカスタム名を入力できます。
例: `SAML-Developer-Access` または `SAML-ReadOnly-Role`
1. その他のパラメータについては、デフォルト値を受け入れるか、要件に応じて独自の値を入力します。
+ **RoleSessionDuration** – 最大セッション期間 (秒) (3600~43200、デフォルトは 7200)
例: `14400` (4 時間)
+ **RolePermissionsBoundary** – アクセス許可の境界ポリシーのオプション ARN
例:`arn:aws:iam::123456789012:policy/DeveloperBoundary`
+ **RolePath** – IAM ロールのパス (デフォルトは /)
例:`/saml-roles/`
+ **ManagedPolicy1-5** – アタッチする最大 5 つのマネージドポリシーのオプション ARN
ManagedPolicy1 の例: `arn:aws:iam::aws:policy/ReadOnlyAccess`
ManagedPolicy2 の例: `arn:aws:iam::123456789012:policy/CustomPolicy`
1. [**次へ**] を選択します。
1. スタックオプションを設定します。
1. **[スタック障害オプション]** で、**[新しく作成されたリソースをすべて削除]** を選択します。
**注記**
このオプションを選択すると、スタックの作成に失敗した場合でも削除ポリシーで保持するように指定されているリソースに対して、課金される可能性を防ぐことができます。
1. 他はすべて、デフォルト値を受け入れます。
1. **[機能]** では、チェックボックスをオンにして、CloudFormation によってアカウントに IAM リソースが作成される場合があることを承認します。
1. [**次へ**] を選択します。
1. スタックの詳細を確認して、**[送信]** を選択します。
CloudFormation によってスタックが作成されます。スタックの作成が完了すると、スタックリソースを使用する準備が整います。スタックの詳細ページの **[リソース]** タブを使用して、アカウントにプロビジョニングされたリソースを表示できます。
スタックは次の値を出力します。値は **[出力]** タブで確認できます。
+ **RoleARN**: 作成された IAM ロールの ARN (自動生成された名前を使用する場合は、`arn:aws:iam::123456789012:role/SAML-Developer-Access` または `arn:aws:iam::123456789012:role/stack-name-a1b2c3d4` など)。
ロールの引き受けのために適切な SAML 属性を送信するように IdP を設定する場合は、このロール ARN が必要です。
## SAML フェデレーションロールをテストする
SAML フェデレーションロールが作成されたら、その設定を検証し、フェデレーション設定をテストできます。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 新しく作成されたフェデレーションロールを見つけて選択します。
カスタムロール名を指定した場合は、その名前を探します。RoleName パラメータを空のままにすると、ロールにはスタック名と一意の識別子に基づいて自動生成された名前が付けられます。
1. **[信頼関係]** タブを選択して、信頼ポリシーを確認します。
信頼ポリシーには、SAML オーディエンス (`SAML:aud`) が `https://signin.aws.amazon.com/saml` と一致することを条件として、SAML IdP がこのロールを引き受けるように信頼されていることが示されているはずです。
1. **[アクセス許可]** タブで、アタッチされたポリシーを確認します。
作成時にロールにアタッチされたマネージドポリシーを確認できます。
1. ロールの概要ページに表示される **[ロール ARN]** を書き留めます。
ユーザーがこのロールを引き受けることができるように外部 IdP を設定するには、この ARN が必要です。
これで、SAML フェデレーションロールを使用する準備ができました。SAML アサーションにこのロールの ARN を含めるように外部 IdP を設定すると、認証されたユーザーはこのロールを引き受けて AWS リソースにアクセスすることができます。
## クリーンアップ: リソースを削除する
最後のステップとして、スタックとそれに含まれるリソースを削除します。
1. CloudFormation コンソールを開きます。
1. **[スタック]** ページで、テンプレートから作成されたスタックを選択し、**[削除]** を選択してから、**[削除]** で確定します。
CloudFormation は、スタックとそれに含まれるすべてのリソースの削除を開始します。
## CloudFormation テンプレートファイルの詳細
### リソース
このチュートリアルで使用する CloudFormation テンプレートでは、以下のリソースがアカウントに作成されます。
+ [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html): SAML IdP を介して認証されたユーザーが引き受けることができるフェデレーション IAM ロール。
### 設定
テンプレートには、以下の設定可能なパラメータが含まれています。
+ **RoleName** – IAM ロールの名前 (自動生成された名前にする場合は空のままにします)
+ **SAMLProviderARN** – SAML IdP の ARN (必須)
+ **RoleSessionDuration** – 最大セッション期間 (秒) (3600~43200、デフォルトは 7200)
+ **RolePermissionsBoundary** – アクセス許可の境界ポリシーのオプション ARN
+ **RolePath** – IAM ロールのパス (デフォルトは /)
+ **ManagedPolicy1-5** – アタッチする最大 5 つのマネージドポリシーのオプション ARN
## CloudFormation テンプレート
次の JSON または YAML コードを別のファイルとして保存し、このチュートリアルの CloudFormation テンプレートとして使用します。
------
#### [ JSON ]
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description": "[AWSDocs] IAM: tutorial_saml-federated-role",
"Parameters": {
"RoleName": {
"Type": "String",
"Description": "Name of the IAM Role (leave empty for auto-generated name like '{StackName}-{UniqueId}')",
"Default": "",
"AllowedPattern": "^$|^[\\w+=,.@-]{1,64}$",
"ConstraintDescription": "Must be empty or 1-64 characters and can contain alphanumeric characters and +=,.@-"
},
"SAMLProviderARN": {
"Type": "String",
"Description": "ARN of the SAML Identity Provider",
"AllowedPattern": "^arn:aws:iam::\\d{12}:saml-provider/[a-zA-Z0-9._-]+$",
"ConstraintDescription": "Must be a valid SAML provider ARN"
},
"RoleSessionDuration": {
"Type": "Number",
"Description": "The maximum session duration (in seconds) that you want to set for the specified role (3600-43200)",
"MinValue": 3600,
"MaxValue": 43200,
"Default": 7200
},
"RolePermissionsBoundary": {
"Type": "String",
"Description": "Optional ARN of the permissions boundary policy (leave empty for none)",
"Default": ""
},
"RolePath": {
"Type": "String",
"Description": "Path for the IAM role (must start and end with /)",
"Default": "/",
"AllowedPattern": "^\/.*\/$|^\/$",
"ConstraintDescription": "Role path must start and end with forward slash (/)"
},
"RoleManagedPolicy1": {
"Type": "String",
"Description": "Optional managed policy ARN 1",
"Default": ""
},
"RoleManagedPolicy2": {
"Type": "String",
"Description": "Optional managed policy ARN 2",
"Default": ""
},
"RoleManagedPolicy3": {
"Type": "String",
"Description": "Optional managed policy ARN 3",
"Default": ""
},
"RoleManagedPolicy4": {
"Type": "String",
"Description": "Optional managed policy ARN 4",
"Default": ""
},
"RoleManagedPolicy5": {
"Type": "String",
"Description": "Optional managed policy ARN 5",
"Default": ""
}
},
"Conditions": {
"HasCustomRoleName": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleName"}, ""]}]},
"HasPermissionsBoundary": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RolePermissionsBoundary"}, ""]}]},
"HasPolicy1": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy1"}, ""]}]},
"HasPolicy2": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy2"}, ""]}]},
"HasPolicy3": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy3"}, ""]}]},
"HasPolicy4": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy4"}, ""]}]},
"HasPolicy5": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy5"}, ""]}]}
},
"Resources": {
"SAMLFederatedRole": {
"Type": "AWS::IAM::Role",
"Properties": {
"RoleName": {"Fn::If": ["HasCustomRoleName", {"Ref": "RoleName"}, {"Ref": "AWS::NoValue"}]},
"Description": "IAM role with SAML provider trust",
"MaxSessionDuration": {"Ref": "RoleSessionDuration"},
"PermissionsBoundary": {"Fn::If": ["HasPermissionsBoundary", {"Ref": "RolePermissionsBoundary"}, {"Ref": "AWS::NoValue"}]},
"Path": {"Ref": "RolePath"},
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": {"Ref": "SAMLProviderARN"}
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
},
"ManagedPolicyArns": {
"Fn::Split": [
",",
{
"Fn::Join": [
",",
[
{"Fn::If": ["HasPolicy1", {"Ref": "RoleManagedPolicy1"}, {"Ref": "AWS::NoValue"}]},
{"Fn::If": ["HasPolicy2", {"Ref": "RoleManagedPolicy2"}, {"Ref": "AWS::NoValue"}]},
{"Fn::If": ["HasPolicy3", {"Ref": "RoleManagedPolicy3"}, {"Ref": "AWS::NoValue"}]},
{"Fn::If": ["HasPolicy4", {"Ref": "RoleManagedPolicy4"}, {"Ref": "AWS::NoValue"}]},
{"Fn::If": ["HasPolicy5", {"Ref": "RoleManagedPolicy5"}, {"Ref": "AWS::NoValue"}]}
]
]
}
]
}
}
}
},
"Outputs": {
"RoleARN": {
"Description": "ARN of the created IAM Role",
"Value": {"Fn::GetAtt": ["SAMLFederatedRole", "Arn"]},
"Export": {
"Name": {"Fn::Sub": "${AWS::StackName}-RoleARN"}
}
}
}
}
```
------
#### [ YAML ]
```
AWSTemplateFormatVersion: '2010-09-09'
Description: '[AWSDocs] IAM: tutorial_saml-federated-role'
Parameters:
RoleName:
Type: String
Description: 'Name of the IAM Role (leave empty for auto-generated name like ''{StackName}-{UniqueId}'')'
Default: ""
AllowedPattern: '^$|^[\w+=,.@-]{1,64}$'
ConstraintDescription: 'Must be empty or 1-64 characters and can contain alphanumeric characters and +=,.@-'
SAMLProviderARN:
Type: String
Description: 'ARN of the SAML Identity Provider'
AllowedPattern: '^arn:aws:iam::\d{12}:saml-provider/[a-zA-Z0-9._-]+$'
ConstraintDescription: 'Must be a valid SAML provider ARN'
RoleSessionDuration:
Type: Number
Description: 'The maximum session duration (in seconds) that you want to set for the specified role (3600-43200)'
MinValue: 3600
MaxValue: 43200
Default: 7200
RolePermissionsBoundary:
Type: String
Description: Optional ARN of the permissions boundary policy (leave empty for none)
Default: ""
RolePath:
Type: String
Description: 'Path for the IAM role (must start and end with /)'
Default: "/"
AllowedPattern: '^\/.*\/$|^\/$'
ConstraintDescription: 'Role path must start and end with forward slash (/)'
RoleManagedPolicy1:
Type: String
Description: Optional managed policy ARN 1
Default: ""
RoleManagedPolicy2:
Type: String
Description: Optional managed policy ARN 2
Default: ""
RoleManagedPolicy3:
Type: String
Description: Optional managed policy ARN 3
Default: ""
RoleManagedPolicy4:
Type: String
Description: Optional managed policy ARN 4
Default: ""
RoleManagedPolicy5:
Type: String
Description: Optional managed policy ARN 5
Default: ""
Conditions:
HasCustomRoleName: !Not [!Equals [!Ref RoleName, ""]]
HasPermissionsBoundary: !Not [!Equals [!Ref RolePermissionsBoundary, ""]]
HasPolicy1: !Not [!Equals [!Ref RoleManagedPolicy1, ""]]
HasPolicy2: !Not [!Equals [!Ref RoleManagedPolicy2, ""]]
HasPolicy3: !Not [!Equals [!Ref RoleManagedPolicy3, ""]]
HasPolicy4: !Not [!Equals [!Ref RoleManagedPolicy4, ""]]
HasPolicy5: !Not [!Equals [!Ref RoleManagedPolicy5, ""]]
Resources:
SAMLFederatedRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: !If
- HasCustomRoleName
- !Ref RoleName
- !Ref AWS::NoValue
Description: 'IAM role with SAML provider trust'
MaxSessionDuration: !Ref RoleSessionDuration
PermissionsBoundary: !If
- HasPermissionsBoundary
- !Ref RolePermissionsBoundary
- !Ref AWS::NoValue
Path: !Ref RolePath
AssumeRolePolicyDocument:
Version: '2012-10-17 '
Statement:
- Effect: Allow
Principal:
Federated: !Ref SAMLProviderARN
Action: 'sts:AssumeRoleWithSAML'
Condition:
StringEquals:
'SAML:aud': 'https://signin.aws.amazon.com/saml'
ManagedPolicyArns:
!Split
- ','
- !Join
- ','
- - !If [HasPolicy1, !Ref RoleManagedPolicy1, !Ref 'AWS::NoValue']
- !If [HasPolicy2, !Ref RoleManagedPolicy2, !Ref 'AWS::NoValue']
- !If [HasPolicy3, !Ref RoleManagedPolicy3, !Ref 'AWS::NoValue']
- !If [HasPolicy4, !Ref RoleManagedPolicy4, !Ref 'AWS::NoValue']
- !If [HasPolicy5, !Ref RoleManagedPolicy5, !Ref 'AWS::NoValue']
Outputs:
RoleARN:
Description: 'ARN of the created IAM Role'
Value: !GetAtt SAMLFederatedRole.Arn
Export:
Name: !Sub '${AWS::StackName}-RoleARN'
```
------