メニュー
AWS Identity and Access Management
ユーザーガイド

所有している別の AWS アカウントへのアクセス権を IAM ユーザーに提供

IAM ユーザーには、AWS アカウント内のロール、または所有する他の AWS アカウントで定義されたロールに切り替えるアクセス権限を付与することができます。

注記

お客様が所有または制御していないアカウントへのアクセス権を付与する場合は、このトピックの「第三者が所有する AWS アカウントへのアクセス権を付与する」を参照してください。

組織の業務に不可欠な Amazon Elastic Compute Cloud(Amazon EC2)インスタンスがあるとします。インスタンスを削除するアクセス権限をユーザーに直接付与する代わりに、それらの権限を持つロールを作成し、インスタンスを削除する必要があるときに管理者がそのロールに切り替えることを許可できます。これにより、インスタンスに次の保護レイヤーが追加されます。

  • ユーザーにロールを引き受けるアクセス権限を明示的に付与する必要があります。

  • ユーザーは AWS マネジメントコンソールを使用して、アクティブにロールを切り替える必要があります。

  • MFA デバイスでサインインしているユーザーのみがロールを引き受けることができるように、ロールに多要素認証 (MFA) 保護を追加できます。

このアプローチを使用して最小限のアクセスの原則を適用することをお勧めします。つまり、昇格されたアクセス権限の使用を、特定のタスクに必要なときのみに制限します。ロールを使用すると、機密性の高い環境が誤って変更されるのを防ぐことができます(特に、ロールが必要なときだけ使用されるように監査と組み合わせている場合)。

この目的でロールを作成する場合、ユーザーがロールの信頼ポリシーの Principal 要素にアクセスする必要のあるアカウントを ID で指定します。その後、その他のアカウントの特定のユーザーに、そのロールに切り替えるためのアクセス権限を付与できます。

あるアカウントのユーザーは、同じアカウントまたは別のアカウントのロールに切り替えることができます。そのロールを使用している間、ユーザーはアクションだけを実行して、ロールによって許可されているリソースのみにアクセスできますが、元のユーザーアクセス権限は停止されます。ユーザーがそのロールを終了すると、元のユーザーのアクセス権限に戻ります。