今回はAWSのクロスアカウントアクセスの解説をしていきます。
全体の流れ
権限を貰う側
権限を与える側
権利を与える側
権利を貰う側
権限を貰う側
権限を貰う側で必要な作業
IAMにアクセス
メニューからユーザー→ユーザーを追加
名前を入力しアクセス権限へ
必要な権限をアタッチしタグへ
権限を引き受けるだけであればこの段階では必要ありません。
タグが必要な場合は追加して確認へ
間違いがなければユーザーの作成をクリック
上記作業でユーザーが作成されます。
パスワードを控えるのを忘れずに。
担当者に先ほど作成したユーザー名、AWSアカウントIDを共有して、IAMロールを作成してもらいます。
作成が終わったらIAMロールのARNとコンソールでロールを切り替えるためのリンクを受け取ります。
作成したIAMユーザーを開きのインラインポリシーの追加から以下のポリシーを作成します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "受け取ったIAMロールARN"
}
]
}コンソールでロールを切り替えるためのリンクにアクセスし、ロールの切り替えをクリック
これでロールに付与された権限を使用することができます。
権限を与える側で必要な作業
権限を貰う側のAWSアカウントID、IAMユーザー名を受け取ります。
IAMにアクセス
メニューからロール→ロールを作成
信頼されたエンティティにAWSアカウントを選択し、相手先のアカウントIDを入力
入力が終わったら次へをクリック
必要なポリシーを追加して次へをクリック
例で使用しているReadOnlyAccessですがこちらAWS全体の読み取り専用の権限を簡単に付与することができるのでお勧めです。
ロール名、説明、タグの設定をしてロールの作成をクリック
作成したロールにアクセスし、信頼関係、信頼ポリシーを編集をクリックして以下のように変更します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{アカウントID}:user/{ユーザー名}"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
コンソールでロールを切り替えるためのリンクを担当者に共有します。
これで別アカウントのユーザーにロールに付与した権限を与えることができます。
