AWS アカウント間でアクセスを委任 (クロスアカウントアクセス) するための IAM ロール (クロスアカウントロール) を作成する手順。
IAM 本 を読んでて、クロスアカウントロール作成のところでイマイチ流れが掴めなくてモヤモヤしてました。そこで、AWS のドキュメントにあるチュートリアルを読みつつ、自分の理解のために手順をざっくり図解してみたらなんとなく理解できた気はする。
※切り替え先の AWS アカウントの IAM ユーザー
- 対象サービスへのアクセス許可を定義したポリシーを作成
- 切り替え用のロールを作成
- 1) で作成したポリシーを 2) のロールに割り当てる
※切り替え元の AWS アカウントの IAM ユーザー (図と番号がズレてる)
- 切り替え用のロールへのアクセス許可を定義したポリシーを作成
- 1) で作成したポリシーをアクセス許可するユーザーのグループに割り当てる
- 切り替え用のロールへのアクセス拒否を定義したポリシーを作成
- 3) で作成したポリシーをアクセス拒否するユーザーのグループに割り当てる
切り替え元のユーザーは切り替え用のロールを使って対象のサービスにアクセスする。なお、切り替え用のロールにアクセスできるユーザーはポリシーで制限できる。AWS のチュートリアルでは、Deny を定義したポリシーを切り替え元のグループに割り当てている。IAM 本では、切り替え用のロールに割り当てているポリシーにアクセスを許可するユーザーを定義している。(Principal
)