概要
- AWSのIAMで、スイッチロールを利用して顧客のAWSアカウントを利用しました。その際の設定手順について備忘も兼ねて記載します。
前提
- 自分の会社を「会社A」、顧客の会社を「会社B」として記載してます。
- 踏み台アカウント(ジャンプアカウント)を利用して、スイッチロールします。一つの入り口からのみ複数環境(ステージング・本番・検証など)にスイッチできる、セキュアな方式です。
- 踏み台アカウントについて、顧客BからID/Passは連携済とします(MFA認証のキーも)。より強いセキュリティ権限を付与したい場合は別途検討されてください。
AWSリソース図
実行手順
- ①ロールを作成する(会社B)
- ②スイッチロールを設定する(会社B)
- ③スイッチロールで切り替えを行う(会社A)
①ロールを作成する(会社B)
- IAM画面→ロールの作成→クロスアカウントアクセスを選択
- スイッチロールを許可したいアカウントIDを記入
- 任意のアクセスポリシーをアタッチ
②スイッチロールを設定する(会社B)
- インラインポリシーを選択してカスタムポリシーを作成
- Resourceに上記で作成したロールのARNを入力
③スイッチロールで切り替えを行う(会社A)
- 連携済のID、PASS、MFA認証キーを利用してログイン
- なお、2022年11月から複数デバイスの対応ができるようになっています
- 参考記事:AWS Identity and Access Management で複数の多要素認証 (MFA) デバイスのサポートを開始
- 「ロールの切り替え」を選択→アカウント名・ロール名を記入して切り替え
- 表示名は任意のもので可能(わかりやすいものがいいですね)
- 右上にピンク色とかでロール名が表示されていれば、無事に切り替え出来ています。