概要

複数の AWS アカウントを運用する際、アカウント間でのリソースアクセスが必要になるケースがあります。
このような場面で活用されるのが、スイッチロールです。

本記事では、AWS アカウント間での IAM ロールを使用したアクセス委任の設定手順を記載します。

スイッチロールとは？

異なる AWS アカウント間で安全にリソースへのアクセスを委任する仕組みです。
この機能により、以下のメリットが得られます。

• セキュリティの向上: 長期的なアクセスキーの共有が不要
• 権限管理の簡素化: 必要最小限の権限のみを付与
• 監査の容易さ: アクセスログの追跡が可能
• 運用効率の向上: アカウントごとに IAM ユーザーを作成する必要がない

設定手順

今回の設定では、以下の構成でスイッチロールを行います。

• ソースアカウント: アクセス元の AWS アカウント（「1487」から始まるアカウント）
• ターゲットアカウント: アクセス先の AWS アカウント（「7276」から始まるアカウント）

下図のように、ソースアカウントの IAM ユーザーが、ターゲットアカウントの複数の IAM ロールに切り替えてアクセスする事ができます。
本手順では、読み取り権限の IAM ロールのみを作成してスイッチロールを行います。

ターゲットアカウントで IAM ロールを作成

IAM ロールを作成する権限が付与されているユーザーまたはロールで実施してください。

AWS マネジメントコンソールにログイン後、検索バーで「IAM」を検索し、サービスを選択します。

左側のナビゲーションメニューから「ロール」を選択します。

「ロールを作成」ボタンをクリックします。

「AWS アカウント」を選択し、ソースアカウントの ID を入力します。

IAM ロールで許可するポリシーを選択します。
今回は、AWS が提供する管理ポリシーの「ReadOnlyAccess」を選択します。

AWS 管理ポリシー – AWS 管理ポリシー

分かりやすいロール名を設定します。

設定内容を確認し、「ロールを作成」をクリックして完了します。

ソースアカウントからスイッチロールを行う

ソースアカウントのユーザーまたはロールには、スイッチロールを実行する権限が必要なため、ご注意ください。

• sts:AssumeRole

一時的なセキュリティ認証情報を作成するためのアクセス権限の付与 – AWS Identity and Access Management

ソースアカウントの AWS マネジメントコンソールから、画面右上のアカウント情報をクリックして「ロールの切り替え」を選択します。
ロールを切り替えるアクセス許可をユーザーに付与する – AWS Identity and Access Management

以下の情報を入力します。

• Account ID: ターゲットアカウント ID
• IAM role name: ターゲットアカウントで作成したロール名

正常に切り替えが完了すると、画面右上にロール名が表示されます。

参考資料

IAM チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任 – AWS Identity and Access Management
第三者が所有する AWS アカウント へのアクセス – AWS Identity and Access Management
一時的なセキュリティ認証情報を作成するためのアクセス権限の付与 – AWS Identity and Access Management
ロールを切り替えるアクセス許可をユーザーに付与する – AWS Identity and Access Management