IAMロールの適用

社外の人用にアカウントの作成をしたり、アクセスキーを発行することは基本的にしません。

それらの情報が漏洩してしまうと、セキュリティ事故に繋がる可能性があるからです。

社外の人がAWSリソースへアクセスする必要がある場合は、
アカウントやアクセスキーの代わりに「IAMロール」を付与します。
※社外の人がAWSアカウントを持っていることが前提です。

今回は、社外ユーザーが社内のEC2リソースにアクセスできるように設定をします。

本来であれば、別のAWSアカウントを作成して、別アカウント間でロールの付与ができることを確認するべきです。
今回のシナリオでは、同一アカウント内でロールを付与されるユーザー（委託先のユーザー）を作成して、擬似的にロールの付与をすることとします。
（決してAWSのアカウントを作るのがめんどくさかったわけでは・・・）

社外ユーザーの作成

まずは仮想的な社外ユーザーを作成します。

アクセス権限はこの場では特に何も設定しないでおきます。

ユーザー作成完了後、作成したユーザーでコンソールにログインし、EC2を開いて「インスタンスを起動」を選択します。

AMIを選択しようとすると、エラーが出て作成ができません。

”You are not authorized to perform this operation.”
というエラーが出ています。

これは、権限がないからこの操作はできないというエラー内容です。
先ほど何もポリシーをアタッチしなかったので、これが正常な動作です。

では、このユーザーがEC2リソースにアクセスできるようにロールの設定をしてきましょう。

ロールの作成

今回の主役となっている会社のアカウントで、
社外ユーザーがEC2リソースにアクセスするためのロールを作成します。

IAMから「ロール」を選択し、「ロールの作成」をクリックします。

信頼されたエンティティの種類の選択では、別のAWSアカウントを選択し、
このロールの使用を許可する社外ユーザーのアカウントID（ログイン時に使用する１２桁の数字）を入力します。

アクセス権限ポリシーでは、EC2リソースへのアクセスを許可するため「AmazonEC2FullAccess」を選択します。

タグでは、適当に外部っぽものをつけておきます。

最後に、ロール名を入力します。
ロール名は後ほど使用するので、控えておきます。

ロールアクセス用のポリシー作成

次に、社外ユーザー側のアカウントで、先ほど作成したロールへアクセスするためのポリシーを作成する必要があります。

ポリシー作成画面でJSONを選択し、以下の内容を記述します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::＜外部ユーザーのID＞:role/＜ロール名＞"
        }
    ]
}

社外ユーザーのIDは、委託先の社外ユーザーID（数字１２桁）を入力し、
ロール名は、先ほど作成したロール名を入力します。