メニュー
AWS Identity and Access Management
ユーザーガイド

ロールの切り替え(AWS マネジメントコンソール)

ロールは、必要な AWS リソースへのアクセスに使用できるアクセス権限セットを指定します。その点では、AWS Identity and Access Management (IAM) のユーザーに似ています。ユーザーとしてサインインすると、特定のアクセス権限セットが付与されます。ただし、ロールにはサインインされませんが、一度サインインするとロールを切り替えることもできます。こうすると、元のユーザーアクセス権限が一時的に無効になり、そのロールに割り当てられたアクセス権限が代わりに付与されます。ロールは、自身のアカウントのロードでも他の AWS アカウントのロールでもかまいません。ロール、その利点、作成方法の詳細については、「IAM ロール」と「IAM ロールの作成」を参照してください。

重要

AWS マネジメントコンソールでロールを切り替えると、コンソールは常に元の認証情報を使用して切り替えを認証します。これは、IAM ユーザー、SAML フェデレーションロール、またはウェブ ID フェデレーションロールとしてサインインする際に適用されます。たとえば、RoleA に切り替える場合は、元のユーザーまたはフェデレーションロールの認証情報を使用して、RoleA の引き受けが許可されているかどうかが判断されます。その後、RoleA を使用中に RoleB への切り替えを試みると、引き続き RoleA の認証情報ではなく元のユーザーまたはフェデレーションロールの認証情報を使用して、RoleB への切り替えが承認されます。

注記

このセクションでは、IAM コンソールを使用してロールを切り替える方法について説明します。

  • IAM ユーザーとしてサインインしているときにのみ、ロールを切り替えることができます。AWS アカウントの root ユーザーとしてサインインしている場合はロールを切り替えることはできません。

  • 管理者によりリンクが提供されている場合、リンクをクリックして、以下の手順「ステップ 5」まで進んでください。リンクをクリックすると該当するウェブページに移動し、アカウント ID(またはエイリアス)とロール名が自動的に入力されます。

    ヒント

    次の形式を使用して手動でリンクを作成することもできます。

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    管理者が account_id_numberrole_name を提供している場所。text_to_display については、次の手順のステップ 5 の説明を参照してください。

    重要

    ロールの作成を IAM コンソールではなくプログラムで行う場合は、最大 64 文字までの RoleName に加えて最大 512 文字までの Path を追加できます。ただし、AWS コンソールの [Switch Role] 機能でロールを使用するには、PathRoleName の合計が 64 文字を超えることはできません。

  • 次の手順を使用して、管理者が提供する情報を使用して手動でロールを切り替えることができます。

ロールを切り替えるには

  1. IAM ユーザーとして AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. IAM コンソールで、右上のナビゲーションバーのユーザー名をクリックします。通常は username@account_ID_number_or_alias のように表示されます。

  3. [Identity] で、[Switch Role] を選択します。このオプションを選択するのが初めての場合、詳細な情報がページに表示されます。情報を読んだ後、[Switch Role] をクリックします。ブラウザーの Cookie をオフにすると、このページが再び表示されることがあります。

  4. [Switch Role] ページで、アカウント ID 番号またはアカウントエイリアスと、管理者により提供されたロールの名前を入力します。

    注記

    管理者が division_abc/subdivision_efg/roleToDoXYZ などのパスを使用してロールを作成した場合は、[Role] ボックスに完全なパスと名前を入力する必要があります。ロール名のみを入力すると、ロールの切り替えは失敗します。

    重要

    ロールの作成を IAM コンソールではなくプログラムで行う場合は、最大 64 文字までの RoleName に加えて最大 512 文字までの Path を追加できます。ただし、IAM コンソールの [Switch Role] 機能でロールを使用するには、PathRoleName の合計が 64 文字を超えることはできません。これは、ロール名を保存するブラウザクッキーの制約です。

  5. (オプション)このロールがアクティブなときにユーザー名の代わりにナビゲーションバーに表示するテキストを入力します。名前の候補がアカウントとロールの情報に基づいて表示されますが、わかりやすい名前に変更できます。表示名の強調表示に使用される色を選択することもできます。名前と色から、ロールがアクティブになってアクセス権限が変わることがわかりやすくなります。たとえば、テスト環境にアクセスできるロールには、[Display Name] に「Test」と入力し、[Display Color] で緑を指定できます。本稼働環境にアクセスできるロールには、[Display Name] に「Production」と入力し、[Display Color] で赤を指定できます。

  6. [Switch Role] をクリックします。表示名と色によってナビゲーションバーのユーザー名が置き換えられ、そのロールにより付与されたアクセス権限を使用し始めることができます。

ヒント

最近使用したいくつかのロールが [Identity] メニューに表示されます。次回いずれかのロールに切り替える必要があるときは、そのロールをクリックするだけで切り替えることができます。ロールが [Identity] メニューに表示されていない場合は、アカウントとロールの情報を入力するだけでかまいません。

ロールの使用を停止するには

  1. IAM コンソールで、ナビゲーションバーの右側でロールの表示名を選択します。

  2. [Back to UserName] を選択します。ロールとそのアクセス権限が無効になり、IAM ユーザーおよびグループに関連付けられたアクセス権限が自動的に復元されます。