BeeXの営業の田中です
寒い日が続きますが、あと２日でクリスマスだと思うと気持ちはなぜか温かくなります

今日はIAMロールの「スイッチロール」について、説明文を読んでもよくわからなかったので、実際にハンズオンで触ってみましたので、その内容をメモに残します。
色々なブログやオンライン講座を参考にしてやってみた内容なので、少々ツギハギ感があり分かりづらいかもしれません…💦
(BeeXのエンジニアの方に目を通して頂き、技術的な間違いはないはずです。。)

IAMロール

AWSのリソースに対して、アクセス権限をロールとして付与することができる。
リソース間のアクセス権を設定する。

IAMロールの信頼ポリシー

IAMロールは、監査人などに一時的に権限委譲を行う際にも利用される。
IAMロールの権限移譲操作に特化したポリシーがIAMロールの信頼ポリシーである。
信頼ポリシーが付与されたIAMロールが持つ権限を、信頼ポリシーの操作主体であるPrincipalに委譲することができる。

ハンズオンで実施した内容

1.アカウントBの作成
今回のハンズオンのために、元々持っていたアカウント(アカウントA)とは別にもう一つのアカウント(アカウントB)を用意しました。

2.権限移譲用ロールの設定
アカウントAで、アカウントBへの権限移譲用のロールを設定します。

3.アカウントBのポリシー設定
アカウントB内で権限移譲用ロールをポリシーとして設定します。

4.IAMユーザーへのポリシー適用
3.で設定したポリシーをアカウントBのIAMユーザーに適用します。

5.アカウントBからアカウントAのマネージメントコンソールにアクセスする
アカウントBのIAMユーザーを利用して、IAMロールを切り替えることでアカウントAにアクセス可能となります。

実際の画面説明

アカウントAのマネージメントコンソール画面にログインした状態から始めます。

アカウントAでロールの作成

IAM>ロールで「ロールの作成」します。

別のAWSアカウントを選択し、アカウントIDでアカウントBのアカウントIDを指定します。

今回はハンズオンなので、EC2のFullAccess権限を付与するポリシーを選択してみます。

ロール名は「EC2FullAccess_B」とし、「ロールの作成」をします。
※キャプチャの範囲が不十分で「ロールの作成」ボタンが見えてないですが実際の画面では右下に青いボタンがあります

アカウントAに、信頼されたエンティティとしてアカウントBを指定したロールの作成が完了です！

アカウントBにIAMポリシー適用

アカウントAに設定した権限移譲用ロール(EC2FullAccess_B)の以下の情報をメモしておきます
ARN、ロールの説明、アカウントAのID

アカウントBにログインして、ロールを設定するための新しいIAMユーザーを用意する必要があるので、まずポリシーを作成します。
IAM>ポリシーから「ポリシーの作成」を選択します。
今回は、ハンズオンなので、「管理ポリシーのインポート」からベースの記述をインポートして使います。

「AdministratorAccess」をインポートします。

インポート後

ActionとResourceをそれぞれ設定します。
Actionは、sts:AssumeRoleを指定して、アカウントAのロールをアカウントBに設定することを定義します。
Resourceは、アカウントAで作成した権限移譲用ロール(EC2FullAccess_B)のARNを指定します。