アカウントが増えてくると、それぞれのアカウントでどうやって効率よくサインインするか、ということが問題になります。
Single Sign On はひとつの手段でしょうが、Switch Role 機能を利用するのもよいと思います。
ここでは、ひとつのアカウントから、他のアカウントに Switch Role する方法を述べます。
他のアカウントが、3つあるとします。
Switch Role 元のアカウントで作成するポリシー(Development グループにアタッチ)
ポリシー名:OrganizationAccountAccessRoleDevAssumePolicy
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::<ACCOUNT_ID1>:role/OrganizationAccountAccessRoleDev",
"arn:aws:iam::<ACCOUNT_ID2>:role/OrganizationAccountAccessRoleDev",
"arn:aws:iam::<ACCOUNT_ID3>:role/OrganizationAccountAccessRoleDev"
]
}
}
各 Switch Role 先のアカウントで作成したロール
ロール名:OrganizationAccountAccessRoleDev
許可:AWSCodeCommitPowerUser
信頼関係:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<Switch Role 元アカウントID>:user/ユーザー名"
},
"Action": "sts:AssumeRole",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
}
]
}
これで、Switch Role 元の IAM ユーザーは、「ロールの切り替え」をクリックして、「アカウント」に Switch Role 先のアカウントまたはエイリアス名、「ロール」に各 Switch Role 先のアカウントで作成したロール名を入れれば、Switch Role が可能です。