📝
AWS CLI でのスイッチロール
コンソールでのスイッチロールはよくやりますが、CLI ではやったことがなかったので以下のドキュメントを参考に試してみました。
動画
スイッチロールについて
1 つのアカウントから複数のアカウントにアクセスする際に用いられる方法です。
図だと、Jump アカウントにサインインした後に、アクセスしたいアカウントのロールに切り替えるだけで、そのアカウントに入ることができます。もちろんロールに付与する権限を変えれば特定のリソースへのアクセス権だけに絞ることも可能です。
メリットはこんなかんじです。
- アカウント管理が楽になり、情報漏洩リスクを減らせる
- 既存のユーザ情報をそのまま使用
- 既存の権限ベースでの管理が可能
- 既存と同様のポリシーの利用が可能
- 入退社など一時的な管理が可能
- 自動的に認証情報のローテーションが行われる
詳しくは以下をご覧ください。
まとめ
今回は AWS CLI によるスイッチロールの実装手順をご紹介しました。
改めて手順をまとめます。
- スイッチ先のアカウントでロールを作成する
- CLI でスイッチの設定をする
- スイッチ元ユーザーにロールを引き受けるための権限を付与する
- CLI でスイッチロールする
IAM ユーザーは漏洩リスクからできるだけ作成しない方が安全だと言われているので、スイッチロールで不要なユーザーは作らなくても済むケースがあると思います。
今回の内容がどなたかの参考になれば幸いです。
Discussion