メニュー
AWS Identity and Access Management
ユーザーガイド

第三者が所有する AWS アカウントへのアクセス権を付与する

組織内の AWS リソースへ組織外の第三者がアクセスする必要がある場合には、ロールを使用することでアクセス権限を委任することができます。たとえば、組織内の AWS リソースの管理を第三者へ委託しているような場合が相当します。IAM ロールを使用することで、AWS 認証情報を共有することなく第三者に AWS リソースへのアクセスを付与することができます。第三者は代わりに、AWS アカウントに作成したロールを引き受けることで、AWS リソースにアクセスできます。

第三者は、以下の情報を提供する必要があります。これらの情報は、第三者が引き受けることのできるロールの作成に必要です。

  • 第三者の AWS アカウント ID。ロールの信頼ポリシーを定義するときは、その AWS アカウントをプリンシパルとして指定します。

  • 第三者がお客様とロールを一意に関連付けるために使用する外部 ID。ロールの信頼ポリシーを定義するときにこの第三者から条件として受け取った ID を指定します。外部 ID の詳細については、AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 を参照してください。

  • 第三者が AWS リソースでの作業を行うのに必要なアクセス権限。ロールのアクセスポリシーを定義するときに、これらのアクセス権限を指定します。このポリシーには、第三者はどのアクションができるのか、およびどのリソースにアクセスできるのかが定義されています。

ロールの作成が完了したら、そのロールの Amazon リソースネーム(ARN)を対象の第三者に提供します。第三者がロールを使用するにあたり、このロールの ARN を必要とします。

第三者にアクセスを委任するロールの作成については、「AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法」を参照してください。

重要

お客様の AWS リソースへのアクセスを第三者に許可すると、第三者はアクセス権限を付与したすべてのリソースにアクセスできるようになり、第三者が使用したリソースはお客様に請求されます。したがって、第三者によるリソースの使用については適切な制限を設けるようにしてください。