構成図

なにが嬉しい

それぞれのアカウントにログインせずとも操作可能
- パスワードの管理も不要にできる
- ただしスイッチロールする、される権限は必要
踏み台アカウントからスイッチロールすることで複数のアカウントを容易に行き来できる

not75743

前提

スイッチ用ユーザ作成済み

not75743

作業

スイッチ先IAMロール作成

信頼ポリシー設定
接続元アカウントのIAMユーザに限定します

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<スイッチ元AccountID>:user/<スイッチ元IAMUser>",
                    "arn:aws:iam::<スイッチ元AccountID>:role/<スイッチ元IAMRole>",
                    // 略
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

アイデンティティベースポリシー設定
スイッチ先で許可するポリシーを設定する

not75743

スイッチ元からAssumeRoleできるようにする

最低でもこちらの権限が必要です。
先程作成したスイッチ先のロールを指定します。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<スイッチ先AccountID>:role/<スイッチ先IAMRole>"
    }
}

これが無いとスイッチロール時に弾かれる

not75743

注意

検証の際にアカウントを頻繁に変更する場合、操作対象のアカウントの間違いに気をつけましょう
シークレットウインドウであればログインセッションがリセットされるのでおすすめです

not75743