初めに
AWSを勉強していて、スイッチロールという概念が出てきました。
詳しく調べてみると、複数アカウントで作業をしている際にアカウントの切り替えを楽にしてくれる仕組みとのこと。
いまいちピンとこなかったので、実際に設定してみて理解しようと思います。
やりたいこと
・スイッチロールを設定し、Account01からAccount02に切り替えを行う。
設定
実際に設定を行ってみます。
①Account02側の設定(IAMロールの用意)
Account02にログインし、IAMのコンソールから、[ロール] > [ロールの作成]をクリックします。
そして、信頼されたエンティティタイプで[AWSアカウント]を選択し、ロールを使用できるアカウントの識別子の入力欄にAccount01のアカウントID(12桁)を入力して[次へ]をクリックします。
許可を追加にて、Account01に対してのアクセスを許可するポリシーを選択します。
(本記事では[AdministratorAccess]を選択しています)
そして、[次へ]をクリックします。
ロール名の入力を行います。
(本記事では「SwitchRoleDemo」としています)
画面をスクロールし、[ロールを作成]をクリックすれば、Account02側での設定は完了です。
②Account01側の設定(ロールの切り替え)
Account01にログインし、右上のアカウント名をクリックした後、[ロールの切り替え]をクリックします。
遷移先の画面にて、[ロールの切り替え]をクリックします。
ロールの切り替え画面にて、Account02のアカウントID及び、Accont02で作成したロール名を入力して[ロールの切り替え]をクリックします。
これにより、右上のアカウント名がAccont02で作成したロール名に切り替わり、Account02側のリソースに対して操作を行うことが出来るようになります。以上で設定は完了です。
なお次回からは、ロール履歴にて即座に切り替えを行うことが可能となります。
最後に
実際に設定してみることにより、アカウントのログアウト・ログイン操作を行わずに別のアカウントへ移動できるのが、スイッチロールだと理解できました。
確かにこれらの操作が省けるだけでも、だいぶ時間短縮になるからなあ・・・。
(特にMFAを設定している場合などは)