新規アカウント側(スイッチ先)での設定
# 信頼ポリシー(trust-policy.json)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": "sts:AssumeRole"
}
]
}
# ロール作成
aws iam create-role \
--role-name VerificationEnvAccessRole \
--assume-role-policy-document file://trust-policy.json
# 権限ポリシーのアタッチ(必要な権限に応じて)
aws iam attach-role-policy \
--role-name VerificationEnvAccessRole \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess111111111111は元のアカウントIDに置き換え
Principalに元アカウント全体を指定することで、そのアカウント内の許可されたユーザがスイッチ可能に
元のアカウント側(スイッチ元)での設定
# スイッチロール許可ポリシー(switch-role-policy.json)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::222222222222:role/VerificationEnvAccessRole"
}
]
}
# ポリシー作成
aws iam create-policy \
--policy-name AllowSwitchToVerificationEnv \
--policy-document file://switch-role-policy.json
# 各ユーザまたはグループにアタッチ
aws iam attach-user-policy \
--user-name member1 \
--policy-arn arn:aws:iam::111111111111:policy/AllowSwitchToVerificationEnv222222222222は新規アカウントIDに置き換え
グループにアタッチすれば全メンバーに一括適用可能