情報システム課の宮澤です。
今回は、AWSアカウントをセキュアに使うために重要な、IAM ロールについて紹介したいと思います。
IAM ロールとは
IAM ロールは、AWSのリソースに対して、アクセス許可/禁止などの権限ポリシーが設定できるという部分においては、IAMユーザーにかなり近いです。
IAM ユーザーは 1人の特定の人に一意に関連付けられますが、IAM ロールはそれを必要とする任意の人が引き受けるようになっています。
また、ロール自体には認証情報(パスワードやアクセスキー)は関連付けられていません。
そのため、ユーザーがロールに割り当てられた場合、アクセスキーが動的に作成され、ユーザーに提供されます。
ロールを使用して、通常はAWSリソースへのアクセス権のないユーザー、アプリケーション、サービスにそのアクセス権を委任することができます。
例えば、普段はAWSの各リソースを閲覧するだけの権限のユーザーに、対応が必要になったリソースへのアクセス権を付与することができます。
さらに応用すると、Aアカウントから、Bアカウントのリソースへのアクセス件を付与するなども可能です。
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles.html
また、IAM ロールは複数の用途に合わせた種類が用意されています。
このブログでの説明は割愛させていただきますが、AWSの以下のドキュメントに詳細が記載されています。
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_terms-and-concepts.html
IAM ロールの作成
マネジメントコンソールからIAMの管理画面へ移動し、”ロール”を選択後に”新しいロール作成”を押します。
作成するロールの名前を入力します。
管理コンソールにも記載されていますが、ロール名は”最大 64 文字まで、英数字と「 +=,.@-_ 」を使用”の制限があります。
ロールのタイプを選択します。
今回は”クロスアカウントアクセスのロール”を選択し、”所有しているAWSアカウント間のアクセスを提供します”を選択します。
作成するIAM ロールにアクセスさせたいアカウントIDを設定します。
IAM ロールに設定するポリシーを選択します。
このブログでは、"AdministratorAccess"を付与します。
最後に確認画面が出てくるので、確認を行い、問題なければ”ロールの作成”を押します。
作成が完了すると以下のように一覧に表示されます。
まとめ
今回紹介した手順で、切り替え用のロールを作成できました。
次回のブログでは、作成したロールへ切り替える方法などを紹介したいと思います。