IAM スイッチロールの設定方法
2025.7.7
概要
複数の AWS アカウントを運用する際、アカウント間でのリソースアクセスが必要になるケースがあります。
このような場面で活用されるのが、スイッチロールです。
本記事では、AWS アカウント間での IAM ロールを使用したアクセス委任の設定手順を記載します。
スイッチロールとは?
異なる AWS アカウント間で安全にリソースへのアクセスを委任する仕組みです。
この機能により、以下のメリットが得られます。
- セキュリティの向上: 長期的なアクセスキーの共有が不要
- 権限管理の簡素化: 必要最小限の権限のみを付与
- 監査の容易さ: アクセスログの追跡が可能
- 運用効率の向上: アカウントごとに IAM ユーザーを作成する必要がない
設定手順
今回の設定では、以下の構成でスイッチロールを行います。
- ソースアカウント: アクセス元の AWS アカウント(「1487」から始まるアカウント)
- ターゲットアカウント: アクセス先の AWS アカウント(「7276」から始まるアカウント)
下図のように、ソースアカウントの IAM ユーザーが、ターゲットアカウントの複数の IAM ロールに切り替えてアクセスする事ができます。
本手順では、読み取り権限の IAM ロールのみを作成してスイッチロールを行います。
ターゲットアカウントで IAM ロールを作成
IAM ロールを作成する権限が付与されているユーザーまたはロールで実施してください。
AWS マネジメントコンソールにログイン後、検索バーで「IAM」を検索し、サービスを選択します。
左側のナビゲーションメニューから「ロール」を選択します。
「ロールを作成」ボタンをクリックします。
「AWS アカウント」を選択し、ソースアカウントの ID を入力します。
IAM ロールで許可するポリシーを選択します。
今回は、AWS が提供する管理ポリシーの「ReadOnlyAccess」を選択します。
分かりやすいロール名を設定します。
設定内容を確認し、「ロールを作成」をクリックして完了します。
ソースアカウントからスイッチロールを行う
ソースアカウントのユーザーまたはロールには、スイッチロールを実行する権限が必要なため、ご注意ください。
- sts:AssumeRole
一時的なセキュリティ認証情報を作成するためのアクセス権限の付与 – AWS Identity and Access Management
ソースアカウントの AWS マネジメントコンソールから、画面右上のアカウント情報をクリックして「ロールの切り替え」を選択します。
ロールを切り替えるアクセス許可をユーザーに付与する – AWS Identity and Access Management
以下の情報を入力します。
- Account ID: ターゲットアカウント ID
- IAM role name: ターゲットアカウントで作成したロール名
正常に切り替えが完了すると、画面右上にロール名が表示されます。
参考資料
IAM チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任 – AWS Identity and Access Management
第三者が所有する AWS アカウント へのアクセス – AWS Identity and Access Management
一時的なセキュリティ認証情報を作成するためのアクセス権限の付与 – AWS Identity and Access Management
ロールを切り替えるアクセス許可をユーザーに付与する – AWS Identity and Access Management
テックブログ新着情報のほか、AWSやGoogle Cloudに関するお役立ち情報を配信中!
Follow @twitter2021年新卒入社。インフラエンジニアです。RDBが三度の飯より好きです。 主にデータベースやAWSのサーバレスについて書く予定です。あと寒いのは苦手です。
Recommends
こちらもおすすめ
-
「アレクサ、私のプリンを食べたIAMユーザーを特定して」
2023.3.8
-
Amazon S3とローカルPCをWinSCPでシンプルにファイル共有してみた
2024.4.30
Special Topics
注目記事はこちら

データ分析入門
これから始めるBigQuery基礎知識
2024.02.28

AWSの料金が 10 %割引になる!
『AWSの請求代行リセールサービス』
2024.07.16