IAM スイッチロールが思った以上に簡単だった

概要

業務にて、IAM のスイッチロールを設定する機会がありました。

設定後、他のチームメンバーにスイッチロールによるコンソールログインを試してもらったのですが、思った以上に、簡単にログインできました。

備忘録を兼ねて、方法を残します。

話さないこと

IAMスイッチロールの詳細は省略します。

「他のAWSアカウントに切り替える仕組み」ぐらいの認識があれば大丈夫です。

詳細を知りたい方は、公式ドキュメントをご参照ください。

スイッチロールする

前提

• 「AWSアカウントA」と「AWSアカウントB」が存在する
• 「AWSアカウントA」のIAMユーザが、「AWSアカウントB」にログインして作業したい

手順

◇共有する側

1. 共有したい環境で、IAMロールを作成する
2. スイッチロール用URLを共有する

◇共有してもらった側

1. スイッチロール用URLを踏む

これだけです。
簡単ですね！

共有する側

1. 共有したい環境で、IAMロールを作成する

公式ドキュメントの手順に沿って、IAMロールを作成します。

• 「信頼されたエンティティを選択」部分で「AWSアカウント」を選択
• 「別のAWSアカウント」を選択し、「AWSアカウントA」のAWSアカウントIDを入力

後は任意の権限を付与し、IAMロールを作成します。

2. スイッチロール用URLを共有する

作成したIAMロールの詳細画面に移動します。

概要セクション一番右の「コンソールでロールを切り替えるためのリンク」をコピーし、ログインしてほしいユーザにリンクを共有します。

共有してもらった側

1. スイッチロール用URLを踏む

共有してもらったリンク先へ移動します。
「表示名」に任意の名前を入力し、「ロールの切り替え」ボタン押します。

これだけです。

所感

マネジメントコンソール右上の「ロールの切り替え」から切り替えるよりも、スイッチロール用URLを共有する方が非常に簡単でした。

スイッチロールは、セキュリティの面でも優れているため、積極的に活用していきたいです。