コンソールでのスイッチロールはよくやりますが、CLI ではやったことがなかったので以下のドキュメントを参考に試してみました。
IAM ロール (AWS CLI) の切り替え - AWS Identity and Access Management

動画

https://youtu.be/5IQvBw8xxCQ

スイッチロールについて

1 つのアカウントから複数のアカウントにアクセスする際に用いられる方法です。
Jump アカウントにサインインした後に、アクセスしたいアカウントのロールに切り替えるだけでそのアカウントに入ることができます。もちろんロールに付与する権限を変えれば特定のリソースへのアクセス権だけに絞ることも可能です。

以下のようなメリットがあります。

20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2 | PPT

• アカウント管理が楽になり、情報漏洩リスクを減らせる
• 既存のユーザ情報をそのまま使用
• 既存の権限ベースでの管理が可能
• 既存と同様のポリシーの利用が可能
• 入退社など一時的な管理が可能
• 自動的に認証情報のローテーションが行われる

実際の手順については冒頭の動画をご覧ください。

まとめ

今回は AWS CLI によるスイッチロールの実装手順をご紹介しました。
あらためて手順をまとめます。

1. スイッチ先のアカウントでロールを作成する
2. CLI でスイッチの設定をする
3. スイッチ元ユーザーにロールを引き受けるための権限を付与する
4. CLI でスイッチロールする

IAM ユーザーは漏洩リスクからできるだけ作成しない方が安全だと言われているので、スイッチロールで不要なユーザーは作らなくても済むケースがあると思います。
今回の内容がどなたかの参考になれば幸いです。

参考資料

• IAM ロール (AWS CLI) の切り替え - AWS Identity and Access Management
• 20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2 | PPT