構築
IAMロール
IAMロールを作成します。これにスイッチできるようにあとからPolicyを作っていきます。
まず1つ目を作成します。IAMユーザに割り当てるようなので、エンティティタイプはAWSアカウントを選択します。
今回はAmazonEC2ReadOnlyAccessポリシーをあタッチしていきます。
次に進みます。
roleの名前などを決めていきます。EC2-readonly-roleとしました。
この状態で作成します。
2つめを作成していきます。これもAWSアカウントを選択して次に進みます。
こちらのroleではAmazonS3ReadOnlyAccessポリシーをアタッチします。
次に進みます。
roleの名前を決めます。S3-readonly-roleとしました。
IAMポリシー
IAMユーザに作成するポリシーを作成します。
JSONボタンを押下し、以下の内容を入力します。
iamのあとの数字はアカウントIDになりますrole/のあとはスイッチ先のロールを記載します。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::535002847634:role/EC2-readonly-role",
"arn:aws:iam::535002847634:role/S3-readonly-role"
]
}]
}
今作っているポリシー名を決めていきます。
今回はSwitch-role-policyという名前で作成します。
作成できたことを確認します。
IAMグループ作成
IAMユーザが所属するグループを作成していきます。
ユーザーグループからグループを作成を押下します。
グループ名はdev-group、許可ポリシーはSwitch-role-policyとしました。
所属させるユーザはこのあと作ります。
IAMユーザ
dev-userという名前で作成していきます。
先程作成したグループに所属させます。
内容を確認して作成します。
動作確認
先程作成したdev-userでマネジメントコンソールにログインします。
Account IDとスイッチしたいroleの名前を入力します。最初にEC2-readonly-roleにスイッチしたいと思います。
スイッチが正常終了すると、アクティブ欄にroleの名前が表示されます。
このroleでEC2を確認すると閲覧することが可能です。
逆にS3を確認することができないことも確認できます。
今度はS3-readonly-roleにスイッチします。
先程確認できなかったS3バケットが確認できるようになります。
一方でEC2を確認できなくなりました。
