佐々木亮祐

<p>IAMポリシーでAWSアカウントのプリンシパルの指定方法はARNとIDの２つある。どちらの形式でも振る舞いは同じ</p>
<h2 id="arn">
<a class="header-anchor-link" href="#arn" aria-hidden="true"></a> ARN</h2>
<div class="code-block-container"><pre class="language-json"><code class="language-json"><span class="token property">"Principal"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token property">"AWS"</span><span class="token operator">:</span> <span class="token string">"arn:aws:iam::123456789012:root"</span> <span class="token punctuation">}</span>
</code></pre></div><h2 id="id">
<a class="header-anchor-link" href="#id" aria-hidden="true"></a> ID</h2>
<div class="code-block-container"><pre class="language-json"><code class="language-json"><span class="token property">"Principal"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token property">"AWS"</span><span class="token operator">:</span> <span class="token string">"123456789012"</span> <span class="token punctuation">}</span>
</code></pre></div><p>AWSのコンソール上から短縮アカウント ID を含むリソースベースのポリシーを保存すると、それをサービスがプリンシパルARN に変換することがあるらしい。<br>
（実際、IAMロールをクロスアカウントで許可するときに別アカウントのIDを指定する欄があるが、昔登録したものはARN、最近登録したものはIDの形式でポリシーが保存されていた。このことを指してるっぽい）</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__9b3df8ac4c6da" src="https://embed.zenn.studio/card#zenn-embedded__9b3df8ac4c6da" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2FIAM%2Flatest%2FUserGuide%2Freference_policies_elements_principal.html%23principal-accounts" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts</a></p>
