メニュー
AWS Identity and Access Management
ユーザーガイド

第三者が所有する AWS アカウントへのアクセス権を付与する

組織内の AWS リソースへ組織外の第三者がアクセスする必要がある場合には、ロールを使用することでアクセス権限を委任することができます。たとえば、組織内の AWS リソースの管理を第三者へ委託しているような場合が相当します。IAM ロールを使用することで、AWS 認証情報を共有することなく第三者に AWS リソースへのアクセスを付与することができます。第三者は代わりに、AWS アカウントに作成したロールを引き受けることで、AWS リソースにアクセスできます。

第三者は、以下の情報を提供する必要があります。これらの情報は、第三者が引き受けることのできるロールの作成に必要です。

  • 第三者の AWS アカウント ID。ロールの信頼ポリシーを定義するときは、その AWS アカウントをプリンシパルとして指定します。

  • ロールを一意に関連付けるための外部 ID。外部 ID は、ユーザーとサードパーティーによって識別されるシークレット識別子です。たとえば、ユーザーとサードパーティーの間の請求書 ID は使用できますが、サードパーティーの電話番号の名前のような、推測できるものは使用しないでください。ロールの信頼ポリシーを定義するときは、この ID を指定する必要があります。サードパーティーは、ロールを引き受けるときに、この ID を指定する必要があります。外部 ID の詳細については、AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 を参照してください。

  • 第三者が AWS リソースでの作業を行うのに必要なアクセス権限。ロールのアクセスポリシーを定義するときに、これらのアクセス権限を指定する必要があります。このポリシーには、第三者はどのアクションができるのか、およびどのリソースにアクセスできるのかが定義されています。

ロールの作成が完了したら、そのロールの Amazon リソースネーム(ARN)を対象の第三者に提供します。第三者がロールを担当するにあたり、このロールの ARN を必要とします。

第三者にアクセスを委任するロールの作成については、「AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法」を参照してください。

重要

AWS リソースへのアクセスをサードパーティーに許可すると、サードパーティーはポリシーで指定したすべてのリソースにアクセスできます。サードパーティーによるリソースの使用は、ユーザーに請求されます。したがって、第三者によるリソースの使用については適切な制限を設けるようにしてください。