MFAの設定しないとSwitchRoleができないよ

備忘録の一つ。AWSでSwitchRoleの設定を行なったときに、MFAの存在を忘れているとSwitchRoleしたときにエラーメッセージが出てスイッチできないよ、と言う小ネタです。

「1つ以上のフィールドに無効な情報があります。情報を確認するか、管理者に連絡してください。」 と言うメッセージが出ていて、管理者がなんでだっけと困るやつ。スイッチ対象のロールを作成するときに「MFAが必要」というチェックボックスがあるのだけど、これにチェックしていると aws:MultiFactorAuthPresent が true なユーザーのみスイッチできる制約がつけられます。ロールの概要では下記のような状態で表示されてるはず。

IAMユーザーにMFAを設定するか、この条件をJSONから削除しましょう。エラーメッセージは具体的な内容はでないのでトラブルシュートしづらいですが、灯台下暗しなポイントなので確認してみましょう。

因みに、MFA必須でない状態から追加する場合は下記のJSONを追加します。Actionと同じ階層に書く。

"Condition": {
  "Bool": {
    "aws:MultiFactorAuthPresent": "true"
  }
}