🎩
IAM スイッチロールが思った以上に簡単だった
概要
業務にて、IAM のスイッチロールを設定する機会がありました。
設定後、他のチームメンバーにスイッチロールによるコンソールログインを試してもらったのですが、思った以上に、簡単にログインできました。
備忘録を兼ねて、方法を残します。
話さないこと
IAMスイッチロールの詳細は省略します。
「他のAWSアカウントに切り替える仕組み」ぐらいの認識があれば大丈夫です。
詳細を知りたい方は、公式ドキュメントをご参照ください。
スイッチロールする
前提
- 「AWSアカウントA」と「AWSアカウントB」が存在する
- 「AWSアカウントA」のIAMユーザが、「AWSアカウントB」にログインして作業したい
手順
◇共有する側
- 共有したい環境で、IAMロールを作成する
- スイッチロール用URLを共有する
◇共有してもらった側
- スイッチロール用URLを踏む
これだけです。
簡単ですね!
共有する側
1. 共有したい環境で、IAMロールを作成する
公式ドキュメントの手順に沿って、IAMロールを作成します。
- 「信頼されたエンティティを選択」部分で「AWSアカウント」を選択
- 「別のAWSアカウント」を選択し、「AWSアカウントA」のAWSアカウントIDを入力
後は任意の権限を付与し、IAMロールを作成します。
2. スイッチロール用URLを共有する
作成したIAMロールの詳細画面に移動します。
概要セクション一番右の「コンソールでロールを切り替えるためのリンク」をコピーし、ログインしてほしいユーザにリンクを共有します。
共有してもらった側
1. スイッチロール用URLを踏む
共有してもらったリンク先へ移動します。
「表示名」に任意の名前を入力し、「ロールの切り替え」ボタン押します。
これだけです。
所感
マネジメントコンソール右上の「ロールの切り替え」から切り替えるよりも、スイッチロール用URLを共有する方が非常に簡単でした。
スイッチロールは、セキュリティの面でも優れているため、積極的に活用していきたいです。
Discussion