クラウドのインフラ技術

ユーザ用ツール

サイト用ツール

サイドバー

Top SiteMap

クラウドとは
クラウドに関する他社事例



パブリッククラウド

AWS
Azure
GCP


クラウドの比較

クラウドサービス・用語の比較一覧(AWS,Azure,GCP)






.

aws:iam:assumerole

AWS スイッチロールするためのAssumeRoleの設定方法


目次


Assume Roleとは

Assume Role」は他者にAWSアカウントの権限を委譲する仕組みです。
他者にスイッチロールができるようになります。
設定は、各ロールで「信頼関係」を設定することで、権限を付与することができます。


スイッチロールのために、Assume Roleの設定手順

Switch Roleによるアカウント管理とは

複数のアカウントがあると、利用したいアカウントにログインしたり、ログアウトする必要がありますが、
Switch Roleを利用すると、1つログインすると、Switch Roleで、他のアカウントを利用することができます。

社員が増えたり、減ったりしますが、1環境のみユーザを作ればよく、各アカウントごとにユーザを作る必要がなくなります。


スイッチロール先でのロール設定(委任先のアカウント)

  • [ロール] - [ロールを作成]
  • 「別のAWSアカウント」を選択
  • 「123456789012」のようなスイッチロールしてくるAWSアカウントIDを入力する。
  • ポリシーを選択するか。(例:ReadOnlyAccess、AdministratorAccess)
  • 「ロール名」を入力して、「ロールの作成」(例:switchrole-dev, switchrole-infra)
  • 作成したロールを選択し、信頼関係タブで、「信頼関係の編集」をクリックします。
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::aaaaaaaa:root"
      },
      "Action": "sts:AssumeRole"
      "Condition": {
        "ArnLike": {
            "aws:PrincipalArn": "arn:aws:iam::aaaaaaaaaa:user/*_infra"
        }
      }
    }
  ]
}
信頼関係の例(ユーザとソースIPを設定)

スイッチロールされるロールの「信頼関係」で、許可するユーザを追加します。

特定 IP からのみIAM ユーザーがこのロールを引き受けられるように設定します。 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
        "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx",
        "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx",
        "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx",
        "arn:aws:iam::xxxxxxxxxxxxxxx:user/xxxxxxxxx"
        ]
      },
      "Action": "sts:AssumeRole"
      "Condition": {
        "IpAddress": {
            "aws:SourceIp": "x.x.x.x/32"
        }
      }
    }
  ]
}


スイッチ元での設定(委任元のアカウント)

スイッチロールするポリシーを作成し、それをユーザに割り当てましょう。

  • [ポリシー][ポリシーの作成](例:AllowAssumeRoleWithSourceIPRestriction)
  • 「JSON」を選択し、以下のようにします。
ポリシーの例(ロール名を指定)
{
  "Version": "2012-10-17",
  "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRole"
      "Resource": "*"
    }
}

{
  "Version": "2012-10-17",
  "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRole"
      "Resource": "arn:aws:iam::xxxxxxxxxxxx:role/switchrole-*"
    }
}

{
  "Version": "2012-10-17",
  "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRole"
      "Resource": [
          "arn:aws:iam::1234567890:role/*",
          "arn:aws:iam::9988776655:role/*"
       ]
    }
}

または
特定 IP のみ特権ロールの AssumeRole を許可する。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::xxxxxxxxxx:role/AssumedAdministratorAccessRole"
        },
        {
            "Sid": "SourceIPRestriction",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "xxx.xxx.xxx.xxx/32"
                    ]
                }
            }
        }
    ]
}


ロールの切り替え手順

SwichRoleのIAMを変更したら、ログアウト、ログインして確認しましょう。
そのままスイッチロールだけ確認すると、ログインできたり、できなかったりおかしい状態になります。

(1)右上のアカウント名をクリックし、「ロールの切り替え」を選択します。

(2)以下を入力し、「ロールの切り替え」をクリックします。

項目 設定 説明
アカウント 12345678901
ロール 設定したロール名 大文字小文字注意
表示名 オプション
オプション


参考

aws/iam/assumerole.txt · 最終更新: 2022/07/01 00:36 by kurihara

ページ用ツール


Home     About     Contact

Copyright (c) 2022 クラウドのインフラ技術 All Rights Reserved.