14
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

IAMロールと信頼されたエンティティの関係性

Last updated at Posted at 2021-08-25

はじめに

IAMのロール作成時に聞かれる「信頼されたエンティティ」って何となったので調べて分かった事を備忘録としてを残す

信頼されたエンティティとは

IAMで作成したロールはユーザだけでなくサービス(s3とかLambdaとか)にも付与することができるが、その付与可能なサービスを設定しているのが「信頼されたエンティティ」の部分
この「信頼されたエンティティ」にないサービスにはロールをアタッチできない

具体的に見ていく

ロール作成

ロールをIAMで作成すると以下のような画面が出てくるが、ここで選択したサービスを「信頼されたエンティティ(=今作成中のロールをアタッチできる対象として許可する)」とみなすようになる
image.png

作成したロールの信頼関係(どのサービスならこのロールをアタッチできるか?)

「信頼されたエンティティ」の所にlambda.amazonaws.comと書かれている通り、Lambdaであればこのロールを使う事ができるように設定できている
image.png

Lambdaからアタッチできるか?確認

以下の編集ボタンをクリックすると・・・
image.png

ロール一覧に先ほど作成したtest-roleが表示されているのが確認できる
image.png

信頼されたエンティティを修正してLambdaからアタッチできない事を確認

信頼されたエンティティが以下のような状態でLambdaのアタッチ可能なロール一覧を見てみると・・・
image.png

アタッチ可能なロール一覧に表示されない事が確認できる
image.png

おまけ

信頼されたエンティティを複数定義する

以下のように自分でJSONを編集すれば他のサービスも信頼されたエンティティに追加する事ができる
※JSON編集画面は作成したロールの信頼関係(どのサービスならこのロールをアタッチできるか?)の画像にある「信頼関係の編集」ボタンから開ける

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "s3.amazonaws.com",
          "lambda.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
14
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
14
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?