#スイッチロールの概要
アカウントAのユーザA(IAMユーザ)からアカウントBへのスイッチロールについて
##アカウントB(スイッチ先)での作業
スイッチロール(クロスアカウント)用のロールBを作成する
1. スイッチ元のアカウントIDを入力
2. ロールにアタッチするポリシーを決定
3. ロール名入力(ロールB)
上記手順でロール作成完了、信頼関係の編集が必要な場合は別途実施
作成時の信頼関係は下記のとおり
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AAAAAAAAAAAAAAAA:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
作成時には、ユーザ部分が"root"となっているので「アカウントA」全体に適用できる状態
ユーザを指定したければ、”root”部分を”user/【IAMユーザ名】"へ変更する。
##アカウントA(スイッチ元)での作業
スイッチ先のIAMロールを装備するための権限が必要(AssumeRole ポリシー付与)
###パターン1:ユーザAが”AdministratorAcces”権限の場合
既にAssumeRoleの権限を持っているのでロールの切替え画面から、
・スイッチ先のアカウント(アカウントB)
・スイッチ先のロールの名称(ロールB)
を入力するだけで切替え可能
###パターン2:AssumeRole ポリシーを付与する場合
(1)スイッチ元(アカウントA)でスイッチ先IAMロールに対するAssumeRoleポリシー作成
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::【スイッチ先アカウント】:role/【IAMロール名】"
}
]
}
(2)スイッチ元アカウントに任意のグループを作成し、1のポリシーをアタッチしユーザAをグループに追加。または、IAMユーザ(ユーザAに直接アタッチ)