ロールの切り替え (コンソール) - AWS Identity and Access Management

ロールの切り替え (コンソール)

ロールは、必要な AWS リソースへのアクセスに使用できる一連のアクセス許可を指定します。その点では、AWS Identity and Access Management(IAM)のユーザーに似ています。ユーザーとしてサインインすると、特定の一連のアクセス許可が付与されます。ただし、ロールにはサインインされませんが、一度サインインするとロールを切り替えることもできます。こうすると、元のユーザーアクセス権限が一時的に無効になり、そのロールに割り当てられたアクセス権限が代わりに付与されます。ロールは、自身のアカウントのロールでも、他の AWS アカウント のロールでもかまいません。ロール、その利点、作成方法の詳細については、「IAM ロール」と「IAM ロールの作成」を参照してください。

重要

ユーザーと切り替え後のロールのアクセス許可は、累積されません。同時に有効になるアクセス権限のセットは 1 つのみです。ロールを切り替えると、ユーザーアクセス権限が一時的に無効になり、切り替え後のロールに割り当てられたアクセス権限が有効になります。そのロールを終了すると、ユーザーアクセス権限が自動的に復元されます。

AWS Management Console でロールを切り替えると、コンソールは常に元の認証情報を使用して切り替えを認証します。これは、IAM ユーザー、IAM Identity Center でのユーザー、SAML フェデレーションロール、またはウェブ ID フェデレーションロールとしてサインインする際に適用されます。たとえば、RoleA に切り替える場合は、IAM は元のユーザーまたはフェデレーションロールの認証情報を使用して、RoleA の引き受けが許可されているかどうかを判断します。その後、RoleA を使用中に RoleB への切り替えを試みると、AWS は引き続き RoleA の認証情報ではなく元のユーザーまたはフェデレーティッドロールの認証情報を使用して切り替えを承認します。

コンソールでのロールの切り替えについて知っておくべきこと

このセクションでは、IAM コンソールを使用してロールを切り替えるための追加情報を提供します。

注記:
  • AWS アカウントのルートユーザー としてサインインすると、ロールを切り替えることはできません。IAM ユーザー、IAM Identity Center でのユーザー、SAML フェデレーションロール、またはウェブ ID フェデレーションロールとしてサインインするときにロールを切り替えられます。

  • AWS Management Console で、ExternalId 値を必要とするロールに切り替えることはできません。ExternalId パラメータをサポートする AssumeRole API を呼び出すことにより、このようなロールに切り替えることができます。

  • 管理者によりリンクが提供されている場合、リンクを選択して、以下の手順のステップ「ステップ 5」に進んでください。リンクをクリックすると該当するウェブページに移動し、アカウント ID (またはエイリアス) とロール名が自動的に入力されます。

  • 手動でリンクを作成して、次の手順のステップ ステップ 5 にスキップできます。リンクを作成するには、次の形式を使用します。

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    ここで、次のテキストに置き換えます。

    • account_id_number – 12 桁のアカウント ID は、管理者から提供されます。または、管理者がアカウントエイリアスを作成して、URL にアカウント ID の代わりにアカウント名を含めることもできます。詳細については、AWS サインイン ユーザーガイドの「ユーザータイプ」を参照してください。

    • role_name – 引き受けるロールの名前。これはロールの ARN の末尾から取得できます。たとえば、ロールの ARN が TestRole である場合、ロール名は arn:aws:iam::123456789012:role/TestRole になります。

    • (オプション) text_to_display – このロールがアクティブなときにユーザー名の代わりにナビゲーションバーに表示するテキストを入力できます。

  • 次の手順を使用して、管理者が提供する情報を使用して手動でロールを切り替えることができます。

デフォルトでは、ロールを切り替えると、AWS Management Console セッションは 1 時間続きます。IAM ユーザーセッションは、デフォルトで 12 時間です。コンソールでロールを切り替える IAM ユーザーには、ロールに設定された最大セッション期間、または ユーザーのセッションの残り時間のいずれか短い方が付与されます。たとえば、ロールに対して最大セッション期間が 10 時間に設定されているとします。IAM ユーザーがロールに切り替えることを決定すると、8 時間コンソールにサインインしています。ユーザーセッションには残り時間が 4 時間あるため、許可されるロールセッション期間は 4 時間です。次の表は、コンソールでロールを切り替えるときの IAM ユーザーのセッション期間を決定する方法を示しています。

IAM ユーザーコンソールロールセッション期間
IAM ユーザーセッションの残り時間は..。 ロールセッションの期間は..。
ロールの最大セッション時間より小さい ユーザーセッションでの残り時間
ロールの最大セッション時間の長さを超えています 最大セッション期間値
ロールの最大セッション時間と同等 最大セッション継続時間値 (概算)
注記

ある程度 AWS サービスコンソールは、ロールセッションの有効期限が切れたときに、アクションを実行せずにロールセッションを自動更新できます。セッションを再認証するために、ブラウザページをリロードするように求めるメッセージが表示されることがあります。

ロールを引き受ける際に遭遇する可能性がある一般的な問題のトラブルシューティングを行うには、、「ロールを引き受けることができない」を参照してください。

ロールを切り替えるには (コンソール)
  1. IAM として AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールで、右上のナビゲーションバーのユーザー名を選択します。通常は username@account_ID_number_or_alias のように表示されます。

  3. [Switch Role] (ロールの切り替え) を選択します。このオプションを選択するのが初めての場合、詳細な情報がページに表示されます。情報を読んだ後、[ロールの切り替え] を選択します。ブラウザーの Cookie をオフにすると、このページが再び表示されることがあります。

  4. [ロールの切り替え] ページで、アカウント ID 番号またはアカウントエイリアスと、管理者により提供されたロールの名前を入力します。

    注記

    管理者が division_abc/subdivision_efg/roleToDoX などのパスを使用してロールを作成した場合は、[ロール] ボックスに完全なパスと名前を入力する必要があります。ロール名のみを入力した場合、または PathRoleName の組み合わせの合計が 64 文字を超える場合は、ロールの切り替えは失敗します。これは、ロール名を保存するブラウザクッキーの制約です。この場合は、管理者に連絡して、パスとロール名のサイズを減らすことを依頼してください。

  5. (オプション) 表示名を選択します。このロールがアクティブな場合にユーザー名の代わりにナビゲーションバーに表示するテキストを入力します。名前の候補がアカウントとロールの情報に基づいて表示されますが、わかりやすい名前に変更できます。表示名の強調表示に使用される色を選択することもできます。名前と色から、ロールがアクティブになってアクセス権限が変わることがわかりやすくなります。たとえば、テスト環境にアクセスできるロールには、[表示名] に「Test」と入力し、[] で緑を選択できます。本稼働環境にアクセスできるロールには、[表示名] に「Production」と入力し、[] で赤を選択できます。

  6. [Switch Role] (ロールの切り替え) を選択します。表示名と色によってナビゲーションバーのユーザー名が置き換えられ、そのロールにより付与されたアクセス許可を使用し始めることができます。

ヒント

最近使用したいくつかのロールがメニューに表示されます。次回いずれかのロールに切り替える必要があるときは、そのロールを選択するだけで切り替えることができます。ロールがメニューに表示されていない場合は、アカウントとロールの情報を入力するだけでかまいません。

ロールの使用を停止するには (コンソール)
  1. IAM コンソールで、右上のナビゲーションバーでロールの [表示名] を選択します。通常、表示名は「rolename@account_ID_number_or_alias」のように表示されます。

  2. [ユーザー名に戻る] を選択します。ロールとそのアクセス権限が無効になり、IAM ユーザーおよびグループに関連付けられたアクセス権限が自動的に復元されます。

    たとえば、アカウント番号 123456789012 にユーザー名 RichardRoe を使用してサインインしているとします。AdminRole ロールの使用後に、ロールの使用を停止して元のアクセス許可に戻ります。ロールの使用を停止するには、[AdminRole @ 123456789012]、[RichardRoe に戻る] の順に選択します。

    
            Richard Roe は AdminRole ロールの使用を停止