<p>個人開発でも<a href="https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html" target="_blank" rel="nofollow noopener noreferrer">IAM でのセキュリティのベストプラクティスにあるスイッチロール</a>で開発をしたいので手順を確認しました</p>
<h1 id="%E6%A6%82%E8%A6%81">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h1>
<ol>
<li>ポリシー作成</li>
<li>ロール作成</li>
<li>ユーザー作成</li>
<li>スイッチロール！</li>
</ol>
<h1 id="%E5%AE%9F%E9%9A%9B%E3%81%AE%E6%89%8B%E9%A0%86">
<a class="header-anchor-link" href="#%E5%AE%9F%E9%9A%9B%E3%81%AE%E6%89%8B%E9%A0%86" aria-hidden="true"></a> 実際の手順</h1>
<p>今回は以下の内容で命名しましたが自分好みに変えてください<br>
ポリシー名:testsub<br>
ロール名:TestSub<br>
ユーザー名:testsubuser</p>
<h2 id="%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E4%BD%9C%E6%88%90" aria-hidden="true"></a> ポリシー作成</h2>
<ol>
<li>IAMコンソール左のメニューからポリシーを選択</li>
<li>右上「ポリシーを作成」</li>
<li>「json」タブに以下を貼り付ける。&lt;ACCOUNT-ID-WITHOUT-HYPHENS&gt;は「自分のアカウント ID」を入力</li>
</ol>
<p><a href="https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html" target="_blank" rel="nofollow noopener noreferrer">参照元</a></p>
<div class="code-block-container"><pre class="language-json"><code class="language-json"><span class="token punctuation">{</span>
  <span class="token property">"Version"</span><span class="token operator">:</span> <span class="token string">"2012-10-17"</span><span class="token punctuation">,</span>
  <span class="token property">"Statement"</span><span class="token operator">:</span> <span class="token punctuation">{</span>
    <span class="token property">"Effect"</span><span class="token operator">:</span> <span class="token string">"Allow"</span><span class="token punctuation">,</span>
    <span class="token property">"Action"</span><span class="token operator">:</span> <span class="token string">"sts:AssumeRole"</span><span class="token punctuation">,</span>
    <span class="token property">"Resource"</span><span class="token operator">:</span> <span class="token string">"arn:aws:iam::&lt;ACCOUNT-ID-WITHOUT-HYPHENS&gt;:role/Test*"</span>
  <span class="token punctuation">}</span>
<span class="token punctuation">}</span>
</code></pre></div><ol start="8">
<li>「次のステップ：タグ」を押す</li>
<li>「次のステップ：確認」を押す</li>
<li>名前「testsub」を入力、「ポリシーの作成」を押す</li>
</ol>
<h2 id="%E3%83%AD%E3%83%BC%E3%83%AB%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#%E3%83%AD%E3%83%BC%E3%83%AB%E4%BD%9C%E6%88%90" aria-hidden="true"></a> ロール作成</h2>
<ol>
<li>IAMコンソール左のメニューからロールを選択</li>
<li>右上「ロールを作成」</li>
<li>信頼されたエンティティの種類を選択で「別のAWSアカウント」選択</li>
<li>このロールを使用できるアカウントを指定する：アカウント ID「自分のアカウント ID」を入力<br>
アカウントIDは右上アカウント名を押せば確認できます</li>
<li>「次のステップ：アクセス権限」を押す</li>
<li>ポリシーのフィルターで「testsub」を検索しチェックを入れる</li>
<li>「次のステップ：タグ」を押す</li>
<li>「次のステップ：確認」を押す</li>
<li>ロール名「TestSub」を入力</li>
<li>「ロールの作成」を押す</li>
</ol>
<h2 id="%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E4%BD%9C%E6%88%90" aria-hidden="true"></a> ユーザー作成</h2>
<ol>
<li>IAMコンソール左のメニューからユーザーを選択</li>
<li>右上「ユーザーを追加」</li>
<li>ユーザー名「testsubuser」を入力</li>
<li>AWS アクセスの種類を選択で「パスワード - AWS マネジメントコンソールへのアクセス」をチェック</li>
<li>「次のステップ：アクセス権限」</li>
<li>既存のポリシーを直接アタッチを選択</li>
<li>ポリシーのフィルターで「testsub」を検索しチェックを入れる</li>
<li>「次のステップ：タグ」を押す</li>
<li>「次のステップ：確認」を押す</li>
<li>「ユーザーの作成」を押す</li>
<li>パスワードを控える</li>
<li>「emailの送信」リンクから自分宛にログイン手順を送信</li>
<li>閉じる</li>
</ol>
<h2 id="%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%83%AD%E3%83%BC%E3%83%AB">
<a class="header-anchor-link" href="#%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%83%AD%E3%83%BC%E3%83%AB" aria-hidden="true"></a> スイッチロール</h2>
<ol>
<li>現在のアカウントからサインアウト</li>
<li>先ほど送信したemailの手順から新しいユーザーでサインイン</li>
<li>右上のアカウント名を押すと表示される「ロールの切り替え」を押す</li>
<li>アカウント「自分のアカウントID」を入力</li>
<li>ロール「TestSub」を入力</li>
<li>表示名 「Test Sub」を入力（なんでもいい）</li>
<li>「ロールの切り替え」を押す！</li>
</ol>
<p>スイッチロールできました！</p>


はじめてのAWS IAM SwichRole 俺から俺へ

Discussion