【AWS】IAMのスイッチロールの設定方法

初めまして、クラウド導入・運用サービス(「クラウド導入・運用サービス」サービスアップデート内容のご紹介)にて構築担当している平林です。
細マッチョに憧れ、1年前から自宅で筋トレを始めてみました。
ただ週1ペースで低負荷のためか筋肉は付かず体重のみが増えちゃいました。
そんな目標未達な私がコラムを書きますが、どうぞよろしくお願いします。

それでは本題です。
最初のコラムは複数アカウントを利用する際に使われているIdentity and Access Management(以下、「IAM」といいます。)のスイッチロールの設定方法について紹介します。
※対象は開発やテスト・本番など複数アカウントを管理されている方です。

1.そもそもIAMとは?

AWS上のリソースへのアクセスを制御するものです。
IAMがあることで、役割に応じた権限を個別に付与できるようになるんです。

詳細は以下のコラムで書かれていますので、そちらをご参照ください。
AWS IAMによる権限設定のメリットと設定方法別ウィンドウで開きます

2.スイッチロールとは?

ロールの機能のひとつで、他アカウントからのログインを許可するロールのこと。
付与するポリシーによってさまざまな権限を与えることができます。
(管理者権限であったり、EC2限定の閲覧権限であったり)

3.スイッチロールのない世界

複数アカウントを管理している場合、アカウント間を移動する際にログイン・ログアウトを繰り返していると非常に手間がかかりますよね?

上図より開発アカウントからテストアカウントに移動する場合の作業。
①開発アカウントからログアウト
②テストアカウント用のアカウントID、ユーザ名、パスワードを入力してログイン

これを毎回「アカウントIDは~、ユーザ名は~」と資料から探してログインするのは意外と時間がかかります。
また管理するアカウントが増えると結構な重労働になります。

特に目が疲れてくる夕方以降は12桁のアカウントIDを確認するのは辛いですよね。

4.スイッチロールのある世界

そんな上記の課題を解決してくれるのがこのスイッチロールになります。

上図より開発アカウントからテストアカウントに移動する場合の作業。
①開発アカウントにてテストアカウント向けのスイッチロールをクリック

これだけで移動が完了します。

設定すれば2クリックで異なるアカウントに移動できます!!すごくないですか?
キーボードを使うことなく、マウス操作で移動できるため目にも優しいですよね。

5.どうやってスイッチロールするの?

スイッチロールの設定方法は以下の手順で行います。

  • スイッチロール先(ログインされる側)で許可設定を行います。(6の作業)
  • スイッチロール元(ログインする側)でスイッチロールを行います。(7の作業)
  • スイッチロールの確認を行います。(8の作業)

やっとではありますが設定作業に入ります。

6.スイッチロール先での作業

  • マネジメントコンソールでIAMを検索して、IAMを選択

  • 画面左の「ロール」→「ロールの作成」をクリック

  • 「別のAWSアカウント」をクリック
  • 「アカウントID」:スイッチロールを許可したいアカウントIDを記入
  • 「オプション」:必要に応じて

  • 任意のポリシーを選択
    今回は「AmazonEC2ReadOnlyAccess」を選択します。
  • 「アクセス権限の境界の設定」横の▼マークをクリック

  • 任意のポリシーを選択
    今回は何も選択せずに進みます

  • 必要に応じてタグを設定

  • 「ロール名」:任意の名称を記入
    今回は「switchrole-test」と記入します

これでスイッチロールの作成は完了です。
次はスイッチロール元のアカウントにログインしてください。

7.スイッチロール元での作業

  • マネジメントコンソールでユーザ名横の「^」マークをクリック
  • 「スイッチロール」をクリック

  • 「ロールの切り替え」をクリック

  • 「アカウント」:スイッチロール先のアカウントIDを記入
  • 「ロール」:先ほど作成したスイッチロール名を記入
    今回は「switchrole-test」と記入します。
  • 任意の表示名と色を選択
    今回は「test用、赤」にしました。
  • 「ロールの切り替え」をクリック

表示名やスイッチロール名が記載されていれば成功です。

※次からスイッチロールする時

  • マネジメントコンソールでユーザ名横の「^」マークをクリック
  • 表示名(今回はtest用)をクリック
    これで既にお伝えしたように2クリックでスイッチロールが可能になります。

【注意】

ロール履歴はブラウザのCookieに保存されます。
そのためCookieを消すと再度「ロールの切り替え」が必要なため気を付けてください。

8.確認

権限確認のためEC2が見えるか確認してみましょう

  • マネジメントコンソールでEC2を検索して、選択してください
    するとEC2の情報が見えると思います

※EC2の読み込み権限がない場合は、数値が見えません。

続いて、IAMを見てみましょう

  • マネジメントコンソールでIAMを検索して、選択してください
  • 情報が閲覧できないと思います

以上でスイッチロールの設定方法の説明を終わりにいたします。

これからはスイッチロールを活用した素敵な世界をお楽しみください。

9.おわり

初めてのコラムで分かりづらい箇所もあったかと思いますが最後までご覧いただきまして、ありがとうございました。
これからも皆さまにより良い情報をお送りできるよう努めてまいりますので、何卒よろしくお願いいたします。
また細マッチョになれるよう筋トレも続けていきますので、応援をよろしくお願いします!!
以上、このコラムが皆さまの参考になりましたら幸いです。

Amazon Web Services、AWS IAMは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。

本コラムに掲載のサービスや操作画面等は2020年3月時点の情報であり、変更となる場合があります。

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る