「Assume Role」は他者にAWSアカウントの権限を委譲する仕組みです。
他者にスイッチロールができるようになります。
設定は、各ロールで「信頼関係」を設定することで、権限を付与することができます。
複数のアカウントがあると、利用したいアカウントにログインしたり、ログアウトする必要がありますが、
Switch Roleを利用すると、1つログインすると、Switch Roleで、他のアカウントを利用することができます。
社員が増えたり、減ったりしますが、1環境のみユーザを作ればよく、各アカウントごとにユーザを作る必要がなくなります。
スイッチロールされるロールの「信頼関係」で、許可するユーザを追加します。
特定 IP からのみIAM ユーザーがこのロールを引き受けられるように設定します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx", "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx", "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx", "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx" ] }, "Action": "sts:AssumeRole" "Condition": { "IpAddress": { "aws:SourceIp": "x.x.x.x/32" } } } ] }
スイッチロールするポリシーを作成し、それをユーザに割り当てましょう。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole" "Resource": "arn:aws:iam::xxxxxxxxxxxx:role/ロール名" } }
または
特定 IP のみ特権ロールの AssumeRole を許可する。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::xxxxxxxxxx:role/AssumedAdministratorAccessRole" }, { "Sid": "SourceIPRestriction", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "xxx.xxx.xxx.xxx/32" ] } } } ] }
(1)右上のアカウント名をクリックし、「ロールの切り替え」を選択します。
(2)以下を入力し、「ロールの切り替え」をクリックします。
項目 | 設定 | 説明 |
---|---|---|
アカウント | 12345678901 | |
ロール | ||
表示名 | オプション | |
色 | 赤 | オプション |
一般向けサイト
ITエンジニア向けサイト
Portfolio
Copyright (c) 2022 クラウドのインフラ技術 All Rights Reserved.