はじめに
私がいる組織ではAWS OrganizationとIdentity CenterでSSOを構築しており、複数のAWSアカウントを操作するためにAWSアカウントを切り替えることがあるのですが、その際に不便に感じていたことを少し改善する方法を見つけましたので、共有します。
課題
1. 現在操作中のAWSアカウントがどのアカウントなのかわからない
AWSコンソールのヘッダー右部分に常に表示されているのは [ロール名]/[ユーザー名] のためAWSアカウント情報ではありませんし、それをクリックしたところで見られるのはアカウントID(12桁の数字)なので、数字だけではなんのアカウントかわからないで困っていました。
2. Identity Centerでサインインするためスイッチロールで気軽にアカウントを切り替えられない
Identity Centerの運用が開始する以前はアカウントを切り替える際にスイッチロールを使っていたのですが、現在は毎回サインインするようになりアカウントの切り替えで不便さを感じていました。
解決策
結論、2つの設定をするだけで全て解決することがわかりました。それはずばり、アカウントエイリアスを作成して、マルチセッションサポートをオンにする。これです。
アカウントエイリアス
アカウントエイリアスはサインインURLに反映するだけかと思いきや、マルチセッションサポートをオンにしたときに、ヘッダー右部分に表示されるようになるのです。
マルチセッションサポートがOFFのとき
[ロール名]/[ユーザー名] しか表示されていません。
RoleName/UserName の部分。
マルチセッションサポートがONのとき
[アカウントエイリアス] ([アカウントID]) が追加で表示されました。
prd-20250725 (1234-5678-9012) の部分。
アカウントエイリアスは、すでに使われている場合は重複できないため、完全に任意な文字列にはできないと思いますが、3〜63文字でユニークであれば自由に決められるので、識別名として使えますね。
マルチセッションサポート
そもそもマルチセッションサポートってなんなのかってことなのですが、複数のAWSアカウントに同時にサインインしておける機能です。
この機能をONにしておくと、アカウントを切り替える作業をすることなく、ブラウザの別タブでアカウントを行き来できるのでとっても便利でした。ただ、URLが自分専用になってしまうので、ドキュメントに記載する際や他の人に共有する際は注意が必要で、専用部分のサブドメイン文字列を消す必要があります。
ちなみに、アカウントエイリアスを作成せずにマルチセッションサポートだけをONにした場合は以下のように、アカウントIDしか表示されませんでした。
その他の解決策
もしアカウントエイリアスだと完全に任意な文字列にできないから嫌だわという場合は、個人設定になってはしまいますが、以下のような表示したい名前とヘッダーに表示できるブラウザの拡張機能を使うのもありかなと思っています。 ここらへんは、組織の方針しだいでしょうかね。
おわりに
AWSアカウントが増えてきて、アカウントの切り替えに不便を感じ始めていたため改善策を模索してみました。アカウント管理は他のクラウドと比較するとGoogle Cloudの組織とプロジェクトの構造のほうが便利に感じますね。
Discussion