AWS Identity and Access Management
ユーザーガイド

ロールの切り替え (コンソール)

ロールは、必要な AWS リソースへのアクセスに使用できる一連のアクセス許可を指定します。その点では、AWS Identity and Access Management (IAM) のユーザーに似ています。ユーザーとしてサインインすると、特定の一連のアクセス許可が付与されます。ただし、ロールにはサインインされませんが、一度サインインするとロールを切り替えることもできます。こうすると、元のユーザーアクセス権限が一時的に無効になり、そのロールに割り当てられたアクセス権限が代わりに付与されます。ロールは、自身のアカウントのロードでも他の AWS アカウントのロールでもかまいません。ロール、その利点、作成方法の詳細については、「IAM ロール」と「IAM ロールの作成」を参照してください。

重要

IAM ユーザーと切り替え後のロールのアクセス許可は、累積されません。同時に有効になるアクセス権限のセットは 1 つのみです。ロールを切り替えると、ユーザーアクセス権限が一時的に無効になり、切り替え後のロールに割り当てられたアクセス権限が有効になります。そのロールを終了すると、ユーザーアクセス権限が自動的に復元されます。

デフォルトでは、AWS マネジメントコンソールセッションは 1 時間です。

AWS マネジメントコンソールでロールを切り替えると、コンソールは常に元の認証情報を使用して切り替えを認証します。これは、IAM ユーザー、SAML フェデレーションロール、またはウェブ ID フェデレーションロールとしてサインインする際に適用されます。たとえば、RoleA に切り替える場合は、IAM は元のユーザーまたはフェデレーションロールの認証情報を使用して、RoleA の引き受けが許可されているかどうかを判断します。その後、RoleA を使用中に RoleB への切り替えを試みると、IAM は引き続き RoleA の認証情報ではなく元のユーザーまたはフェデレーティッドロールの認証情報を使用して切り替えを承認します。

このセクションでは、IAM コンソールを使用してロールを切り替える方法について説明します。

  • IAM ユーザーとしてサインインしているときにのみ、ロールを切り替えることができます。AWS アカウントのルートユーザー としてサインインすると、ロールを切り替えることはできません。

  • 管理者によりリンクが提供されている場合、リンクを選択して、以下の手順のステップ「ステップ 5」まで進んでください。リンクをクリックすると該当するウェブページに移動し、アカウント ID (またはエイリアス) とロール名が自動的に入力されます。

  • 手動でリンクを作成して、次の手順のステップ ステップ 5 にスキップできます。リンクを作成するには、次の形式を使用します。

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    ここで、次のテキストに置き換えます。

    • account_id_number – 12 桁のアカウント ID は、管理者から提供されます。または、管理者がアカウントエイリアスを作成して、URL にアカウント ID の代わりにアカウント名を含めることもできます。詳細については、「AWS アカウント ID とその別名」を参照してください。

    • role_name – 引き受けるロールの名前。これはロールの ARN の末尾から取得できます。たとえば、ロールの ARN が TestRole である場合、ロール名は namearn:aws:iam::403299380220:role/TestRole になります。

    • (オプション) text_to_display – このロールがアクティブなときにユーザー名の代わりにナビゲーションバーに表示するテキストを入力できます。

  • 次の手順を使用して、管理者が提供する情報を使用して手動でロールを切り替えることができます。

ロールを引き受ける際に遭遇する可能性がある一般的な問題のトラブルシューティングを行うには、、「ロールを引き受けることができない」を参照してください。

ロールを切り替えるには (コンソール)

  1. IAM ユーザーとして AWS マネジメントコンソール にサインインし、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールで、右上のナビゲーションバーのユーザー名を選択します。通常は username@account_ID_number_or_alias のように表示されます。

  3. [Switch Role] を選択します。このオプションを選択するのが初めての場合、詳細な情報がページに表示されます。情報を読んだ後、[ロールの切り替え] を選択します。ブラウザーの Cookie をオフにすると、このページが再び表示されることがあります。

  4. [ロールの切り替え] ページで、アカウント ID 番号またはアカウントエイリアスと、管理者により提供されたロールの名前を入力します。

    注記

    管理者が division_abc/subdivision_efg/roleToDoX などのパスを使用してロールを作成した場合は、[ロール] ボックスに完全なパスと名前を入力する必要があります。ロール名のみを入力した場合、または PathRoleName の組み合わせの合計が 64 文字を超える場合は、ロールの切り替えは失敗します。これは、ロール名を保存するブラウザクッキーの制約です。この場合は、管理者に連絡して、パスとロール名のサイズを減らすことを依頼してください。

  5. (オプション) このロールがアクティブな場合にユーザー名の代わりにナビゲーションバーに表示するテキストを入力します。名前の候補がアカウントとロールの情報に基づいて表示されますが、わかりやすい名前に変更できます。表示名の強調表示に使用される色を選択することもできます。名前と色から、ロールがアクティブになってアクセス権限が変わることがわかりやすくなります。たとえば、テスト環境にアクセスできるロールには、[表示名] に「Test」と入力し、[] で緑を選択できます。本稼働環境にアクセスできるロールには、[表示名] に「Production」と入力し、[] で赤を選択できます。

  6. [Switch Role] を選択します。表示名と色によってナビゲーションバーのユーザー名が置き換えられ、そのロールにより付与されたアクセス許可を使用し始めることができます。

ヒント

最近使用したいくつかのロールがメニューに表示されます。次回いずれかのロールに切り替える必要があるときは、そのロールを選択するだけで切り替えることができます。ロールが ID メニューに表示されていない場合は、アカウントとロールの情報を入力するだけでかまいません。

ロールの使用を停止するには (コンソール)

  1. IAM コンソールで、ナビゲーションバーの右上からロールの [表示名] を選択します。通常、表示名は「rolename@account_ID_number_or_alias」のように表示されます。

  2. [ユーザー名に戻る] を選択します。ロールとそのアクセス権限が無効になり、IAM ユーザーおよびグループに関連付けられたアクセス権限が自動的に復元されます。

    たとえば、アカウント番号 123456789012 にユーザー名 RichardRoe を使用してサインインしているとします。AdminRole ロールの使用後に、ロールの使用を停止して元のアクセス許可に戻ります。ロールの使用を停止するには、[AdminRole @ 123456789012]、[RichardRoe に戻る] の順に選択します。

    
          Richard Roe は AdminRole ロールの使用を停止