オリジナルアカウント:IAMユーザが登録されているAWSアカウント
スイッチ先アカウント:IAMユーザは登録されていないが、スイッチロールしたいAWSアカウント
方法1) 信頼関係の編集
スイッチ先アカウントの IAMロール > 信頼関係 > 信頼関係の編集 から 信頼されたエンティティ にオリジナルアカウントのIAMユーザARNを追加
【スイッチ先アカウント】IAMロール信頼関係ポリシードキュメント例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "arn:aws:iam::【オリジナルアカウント】:user/【IAMユーザ名】"
}
}
]
}
方法2) Assume Role ポリシーの付与
1.スイッチ先アカウントIAMロールに対する Assume Role ポリシーをオリジナルアカウントに作成
【オリジナルアカウント】AssumeRoleポリシー例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::【スイッチ先アカウント】:role/【IAMロール名】"
}
]
}
2.オリジナルアカウントに任意のグループを作成し、1のポリシーをアタッチ(もしくは、IAMユーザに直接アタッチ)
3.オリジナルアカウントのIAMユーザを2のグループに追加(ポリシーを直接IAMユーザへアタッチした場合は不要)
Comments