「Assume Role」は他者にAWSアカウントの権限を委譲する仕組みです。
他者にスイッチロールができるようになります。
設定は、各ロールで「信頼関係」を設定することで、権限を付与することができます。
複数のアカウントがあると、利用したいアカウントにログインしたり、ログアウトする必要がありますが、
Switch Roleを利用すると、1つログインすると、Switch Roleで、他のアカウントを利用することができます。
社員が増えたり、減ったりしますが、1環境のみユーザを作ればよく、各アカウントごとにユーザを作る必要がなくなります。
スイッチロールされるロールの「信頼関係」で、許可するユーザを追加します。
特定 IP からのみIAM ユーザーがこのロールを引き受けられるように設定します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx",
"arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx",
"arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx",
"arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx"
]
},
"Action": "sts:AssumeRole"
"Condition": {
"IpAddress": {
"aws:SourceIp": "x.x.x.x/32"
}
}
}
]
}
スイッチロールするポリシーを作成し、それをユーザに割り当てましょう。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole"
"Resource": "arn:aws:iam::xxxxxxxxxxxx:role/ロール名"
}
}
または
特定 IP のみ特権ロールの AssumeRole を許可する。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::xxxxxxxxxx:role/AssumedAdministratorAccessRole"
},
{
"Sid": "SourceIPRestriction",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"xxx.xxx.xxx.xxx/32"
]
}
}
}
]
}
(1)右上のアカウント名をクリックし、「ロールの切り替え」を選択します。
(2)以下を入力し、「ロールの切り替え」をクリックします。
| 項目 | 設定 | 説明 |
|---|---|---|
| アカウント | 12345678901 | |
| ロール | ||
| 表示名 | オプション | |
| 色 | 赤 | オプション |
一般向けサイト
ITエンジニア向けサイト
Portfolio
Copyright (c) 2022 クラウドのインフラ技術 All Rights Reserved.