概要

AWS上で稼働するアプリが増えてくると、アプリごとにOrganizationを作りたくなります。この際、スイッチロールという機能を使うとOrganizationごとにIAMユーザーを作る必要がなくなり、ユーザー管理をシンプルにできます。本記事ではスイッチロールの方法について記載します。

以下、「スイッチ元Organization」および「スイッチ先Organization」のことを単に「スイッチ元」および「スイッチ先」と記載します。

スイッチ先ごとに一度だけやれば良い設定

スイッチ先での設定

管理者アカウントで、スイッチ先にログインします。

ロールを新規作成します。

「別のAWSアカウント」を選択し、アカウントIDにスイッチ元のAWSアカウントIDを入力します。「MFAが必要」にもチェックをつけた方が良いでしょう。

次に進み、スイッチ先で割り当てたい権限をつけます。この例では、Administrator権限を割り当てています。

最後にロール名をつけて、ロールの作成完了します。ロール名は「delegate_root_organization」といった分かりやすい名前が良いでしょう。

作成したロールのARNを控えておきます。

スイッチ元での設定

管理者アカウントで、スイッチ元にログインします。

ポリシーを新規作成します。Resourceには、スイッチ先で作成したロールのARNを入力します。

次へ進み、ポリシーの名前をつけて、ポリシーの作成を完了します。ポリシー名には「delegate_from_スイッチ先Organization名」といった分かりやすい名前が良いでしょう。また、複数のスイッチ先にスイッチできる権限を持つポリシーも作成できますが、スイッチ先ごとにポリシーを作成し各人が関わる必要最低限の権限を付与できるようにした方が良いでしょう。

スイッチ先を利用する各人が実施する必要のある設定

スイッチ元にログインします。

ポリシーの追加

スイッチしたいIAMユーザーに、「スイッチ元での設定」で作成したポリシーを追加します。

スイッチ実行

ではスイッチをしてみましょう。メニューから「ロールの切り替え」を選択します。

スイッチ先のアカウントID、ロール名、表示名を入力します。

「ロールの切り替え」ボタンをクリックすると、スイッチ先にログインしたのと同じ状態になります。

スイッチしていることは、右上のメニューで分かります。上部のバナー全体に色が変わるなどもう少し目立つと良いのですが。

スイッチ元に戻りたい場合は以下のようにメニューから選択します。

本サイトの更新情報は、Twitterの株式会社プレセナ・ストラテジック・パートナーズエンジニア公式アカウントで発信しています。ご確認ください。