スイッチロールとは
異なるIAMロールに一時的に切り替えて操作する仕組みです。
どういう時に使うのか?
業務ではログイン直後のIAMユーザーには何の権限も付与しないことで、誤操作や情報漏洩のリスクを最小化します。
実際の作業は、必要なロールにスイッチして行うことで、権限の範囲を明確に制御できるのです。
設定方法について
-
IAMロールの作成(切り替え先のロール)
① AWSマネジメントコンソール → IAM → 「ロール」→「ロールの作成」
② 信頼されたエンティティ → カスタム信頼ポリシーを選択(後で編集するため)
③ 権限ポリシーをアタッチ(例:S3フルアクセスなど)
④ ロール名を設定(例:MySwitchRole) -
信頼ポリシーの設定(ロール側)
IAMロールの「信頼関係」タブ → 「信頼ポリシーの編集」で、以下のように設定:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<アカウントID>:user/<スイッチ元のIAMユーザー名>"
},
"Action": "sts:AssumeRole"
}
]
}
- GUIでスイッチロールする(IAMユーザー側)
① AWSコンソール右上 → 「アカウント名」→「ロールの切り替え」
② アカウントID(同じアカウントでも明示的に入力)
ロール名
これで完了です。実際に切り替えたロールの権限ポリシーが適用されているか確認してみて下さい。