はじめに
こんにちは、@72_mikanです。
AssumeRoleを使う機会があり、最初かなりとっつきにくいイメージがあったためアウトプット目的でAssumeRoleについてまとめていきます。
目次
- IAM - Identtity and Access Manegement について
- AssumeRoleについて
- AssumeRoleの使い方
- 最後に
IAM - Identtity and Access Manegement について
AssumeRoleを使う前にIAMについてまとめていきたいと思います。
IAM(Identtity and Access Manegement)はAWSリソースのアクセスを安全に管理するためのサービスのことで、ユーザーがAWSリソースへのアクセス制限の権限を一元管理することができます。
具体的にはIAMユーザー、IAMグループ、IAMロールがあり、これらには最初作成された時点では何の権限も持っていない状態になります。つまり、AWSリソースを使えない状態になります。
これらに対し、アクセス許可を定義したIAMポリシーを作成し、付与することでIAMポリシーに定義されているリソースのアクセス権限を与えることができます。
ここで、補足としてIAMユーザー、IAMグループ、IAMロールについて説明すると、IAMユーザーとはAWSを利用するアカウントのことで、先ほども言ったように作られた時点では何の権限も持っていない状態、つまり、何の操作もできない状態になります。これに対し、アクセス許可を定義したIAMポリシーをIAMユーザーに付与することでIAMポリシーで許可されたAWSリソースにアクセスすることができるようになります。
IAMユーザーにIAMポリシーを付与する以外にIAMグループを作成し、IAMポリシーを付与する方法もあります。
こちらの方法では、IAMグループにIAMユーザーを作成することでIAMグループ内のユーザーはIAMグループに付与されたIAMポリシーの権限を持っている状態になります。こうすることで、複数のIAMユーザーを管理することができます。
最後に、IAMロールについて、IAMロールはAWSサービスやアプリケーションに権限を付与する仕組みになります。
IAMロールを作成し、作成したIAMロールにIAMポリシーを付与し、IAMロールを権限を与えたいAWSリソースに付与することで使うことができます。
例えば、EC2から何かしらの操作でS3にアクセスしたいとき、通常であればアクセスすることができないが、S3のアクセス許可が付与されたIAMロールを付与することでEC2からS3にアクセスすることができるようになります。
ここまでが、IAMについての解説になります。
AssumeRoleについて
ここからAssumeRoleについて話していきたいと思います。AssumeRoleを
使うことで別のAWSアカウント
実はAssumeRoleはIAMのサービスではなくAWS STS(Security Token Service)のサービスの1機能のことになります。
ここで、事前にIAMについて話したことについて疑問に思うかもしてません。事前にIAMについて話したのでAssumeRoleではIAMロールを使う必要があるためです。
AssumeRoleを使うことで別のAWSアカウントからAWSリソースを操作することができるようになります。
具体的なイメージは以下のようになります。
いきなり全体像を示されてもわからないと思うのでひとつずつ見ていきます。
まず、二つのAWSアカウント(ID:1111111111とID:2222222222)がある状態とします。
AWSアカウントはIAMユーザーのことを指しているわけではありません。
AWSアカウント内で作成するユーザーのことがIAMユーザーのことになります。
つまり、画像で示されているUserがIAMユーザーを指しています。
今回、別のAWSアカウントからAWSリソースを操作したいので外部AWSアカウント(ID:222222222222)のIAMユーザーがAWSアカウント(ID:111111111111)のAWSリソースを操作したいとします。
最初にIAMロールを作成する必要があります。
IAMロールを作成する際、信頼されたエンティティを選択する必要があります。
今回は外部のAWSアカウント(ID:222222222222)を信頼したいので、AWSアカウントを選択し、信頼するAWSアカウントとして外部AWSアカウント(ID:222222222222)を指定する必要があります。
こちらで作成された信頼ポリシーは以下のようになります。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "222222222222"
},
"Condition": {}
}
]
}
その際、ポリシーのActionでは"sts:AssumeRole"が設定されます。
これで、IAMロールに対して外部のAWSアカウント(ID:222222222222)を信頼していると定義することができます。
次に、AWSリソースの使用の許可が定義されたポリシーを作成し、ロールに付与する必要があります。
IAMロールの部分で説明させていただいたようにAWSリソースの許可が定義されたポリシーを作成し、IAMロールに付与する必要があります。
こちらはIAMロールを作成する際、ポリシーを付与できるのでそちらを行い完了となります。
最後に外部のAWSアカウント(ID:222222222222)でIAMユーザーを作成し、AWSアカウント(ID:111111111111)で作成したロールを使えるようにポリシーを定義する必要があります。
以下のようにポリシーを定義することでAssumeRoleの設定が完了となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111111111111:role/ロール名"
}
]
}
以上のようにAWSアカウント(ID:111111111111)のIAMロールと外部のAWSアカウント(ID:222222222222)でIAMユーザーを定義することでAWSアカウント(ID:111111111111)のIAMロールからSTSが発行されAWSアカウント(ID:222222222222)でIAMユーザーがそのSTSを介してIAMロールを使うことでAWSアカウント(ID:111111111111)のAWSリソースを操作することができるようになります。
AssumeRoleの使い方
最後にAssumeRoleの切り替えについてみていきたいと思います。
まず、初めにAWS上の右上にあるアカウント名@2222-2222-2222(アカウントID)をクリックしロールのきりかえをクリックします。
そこからswitch roleの画面に遷移するのでAccountとroleの部分には相手のID(ID:111111111111)を指定し、ロール名をすることでAWSアカウント(ID:222222222222)からAWSアカウント(ID:111111111111)のIAMリソースを操作できるようになります。
最後に
いかがでしたでしょうか?AssumeRole は使えれば便利なのでこの機会に触れてみてはいかがでしょうか?