トップ > AWS > IAM ロールを使いこなす ~切り替え用ロールの作成編~

IAM ロールを使いこなす ~切り替え用ロールの作成編~

AWS セキュリティ
記事タイトルとURLをコピーする

情報システム課の宮澤です。
今回は、AWSアカウントをセキュアに使うために重要な、IAM ロールについて紹介したいと思います。

IAM ロールとは

IAM ロールは、AWSのリソースに対して、アクセス許可/禁止などの権限ポリシーが設定できるという部分においては、IAMユーザーにかなり近いです。
IAM ユーザーは 1人の特定の人に一意に関連付けられますが、IAM ロールはそれを必要とする任意の人が引き受けるようになっています。
また、ロール自体には認証情報(パスワードやアクセスキー)は関連付けられていません。
そのため、ユーザーがロールに割り当てられた場合、アクセスキーが動的に作成され、ユーザーに提供されます。
ロールを使用して、通常はAWSリソースへのアクセス権のないユーザー、アプリケーション、サービスにそのアクセス権を委任することができます。
例えば、普段はAWSの各リソースを閲覧するだけの権限のユーザーに、対応が必要になったリソースへのアクセス権を付与することができます。
さらに応用すると、Aアカウントから、Bアカウントのリソースへのアクセス件を付与するなども可能です。
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles.html

また、IAM ロールは複数の用途に合わせた種類が用意されています。
このブログでの説明は割愛させていただきますが、AWSの以下のドキュメントに詳細が記載されています。
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_terms-and-concepts.html

IAM ロールの作成

マネジメントコンソールからIAMの管理画面へ移動し、”ロール”を選択後に”新しいロール作成”を押します。
2015-10-28_11h45_11 

作成するロールの名前を入力します。
管理コンソールにも記載されていますが、ロール名は”最大 64 文字まで、英数字と「 +=,.@-_ 」を使用”の制限があります。
2015-10-28_11h45_25

ロールのタイプを選択します。
今回は”クロスアカウントアクセスのロール”を選択し、”所有しているAWSアカウント間のアクセスを提供します”を選択します。
2015-10-28_11h46_15

作成するIAM ロールにアクセスさせたいアカウントIDを設定します。

2015-10-28_11h47_08

IAM ロールに設定するポリシーを選択します。
このブログでは、"AdministratorAccess"を付与します。

2015-10-28_11h48_36 

最後に確認画面が出てくるので、確認を行い、問題なければ”ロールの作成”を押します。

2015-10-28_11h48_48

作成が完了すると以下のように一覧に表示されます。

2015-10-28_11h55_05 

まとめ

今回紹介した手順で、切り替え用のロールを作成できました。
次回のブログでは、作成したロールへ切り替える方法などを紹介したいと思います。