AWSのスイッチロールとは？手順や注意点をわかりやすく紹介！

AWSのスイッチロールとは？

｢IAMについてはアカウントを作成したときに作成したけど、その後ロールを切り替える方法が分からない。｣、｢コマンドライン以外のスイッチロールの方法について知りたい。｣と行き詰った方もいるでしょう。 今回はIAMの概要から実際の切り替え方法や切り替え時の注意点などを紹介しますので是非参考にしてください。 まずは、スイッチロールの意味から説明します。AWSのスイッチロールとは、日本語で直訳した通り、ロールの切り替えのことを指します。 ロールで、AWSのリソースのアクセスに使用できる一連のアクセス許可を指定して、特定の一連のアクセスを許可されます。つまりアクセスコントロールの役割を担っているのがロールなのですが、そのロールを切り替えることもできるのです。 ロールを切り替えると、もともとのユーザーのアクセス権限が無効になり、代わりにロールを与えられたユーザーにアクセス権限が与えられます。 今回の記事では、そんなスイッチロール(ロールの切り替え)について概要や、気を付けることなどをまとめした。これから作業しようと考えている方は是非この記事を参考にしてください。

スイッチロールの前にそもそもIAMとは？

AWSのスイッチロールについて話すためには、まずIAM(Identity and Access Management)について理解してなくてはなりません。 IAMとは、AWS上のサービスを制御しているサービスです。IAMを使用することで、ユーザー、アクセスキーなどのセキュリティ認証情報などのアクセス許可を管理できます。 AWSではIAMを使用してロールの管理もしているため、IAMを使用してロールを作成しますし、ロールの切り替えも可能です。 上記ではざっくりと概要に関して説明しましたが、次ではもう少し掘り下げてIAMについて説明します。ただし、｢もう十分にIAMについて理解している｣といった方は手順の説明に進んでいただいて構いません。 では、実際にどのように切り替えをするのか説明します。

AWS　IAMのユーザーとは？

IAMスイッチロールする際にはIAMのユーザーとしてのログインが必要なのですが、｢そもそもIAMユーザーとは何か｣ということについて説明します。 IAMユーザーにはIDと呼ばれるものが付与されています。このIDごとに対して、AWSでは｢どこまでアクセスしてよいか、なにができるか｣等を設定しています。 この設定は、ルートユーザーが認証しなくては設定できないのですが、無事認証を得たユーザーは1つのAWSアカウントの中に追加され、特定の作業ができるのです。

AWS IAMへのアクセスについて

また、IAMへのアクセスはいくつか方法があるため、ロールの切り替え時にも複数の手段があります。具体的には、AWSのマネジメントコンソールや、コマンドラインツール、AWS SDK、IAM HTTPS APIなどです。 しかし、スイッチロールの操作においてはコンソール画面から行うのが手順としては一番わかりやすく簡単な方法です。 普段あまりコマンドラインを使用しない方や、複雑な設定は必要ないという方はコマンドラインから設定押したほうがミスも少なく、スムーズに作業できるでしょう。

スイッチロールの実装の手順について

では早速、ロールを切り替える手順について説明します。 また、ロールの切り替えに関して注意事項がいくつかあるのですが、これについては次の章にまとめていますので、注意事項もきちんと読んでから作業するようにしましょう。権限の切り替えはかなり重要な作業です。ミスしないように手順と注意点を見てから作業してください。 また、ロールの切り替えにはコンソール上で行うもの、CLI、PowerShell、APIで切り替える方法などがあります。今回はコンソールからと、CLIを使用しての画面の切り替え方法を説明しますので、是非参考にしてください。

手順-コンソールへログインしてロール切り替えページへ遷移する

コンソール上でのスイッチロールの手順をまずは説明します。 まず、初めの手順はIAMのユーザーとしてマネジメントコンソールにログインしましょう。コンソール画面を開いたら、右上のナビゲーションバーからユーザー名を選択します。 次に｢switch Role｣を選択しましょう。この際にcookieをオフにしていると再度ページが表示されてしまう可能性がありますので、cookieの設定を見てから手順を進めてみましょう。 初めてロールの切り替えをする場合、詳細が表示されますので、情報について一通り目を通して問題がなければ次の｢ロールの切り替え｣を選択します。

手順-オプションの選択とスイッチの切り替えについて

ロールの切り替えページまで遷移出来たら、アカウント番号またはアカウントエイリアスと、管理者により提供されたロールの名前を入力します。 次に、オプションの｢表示名｣を選択しましょう。このオプションではロールがアクティブなときに、ユーザー名ではなくナビゲーションバーに表示するテキストを入力します。 表示名は色を変更できるので、自分の見やすい色に変更することも可能です。 最後に｢スイッチロール｣を選択すると、ロールの切り替えが完了します。

CLIでのスイッチロールの方法

次にCLIでのスイッチロールの方法について説明します。 ここでは、開発環境で作業しているIAMユーザーと仮定して作業の手順を説明します。また、後述する注意点でも説明しますが、ルートユーザーでログインするとスイッチロールできませんので注意してください。 本稼働ロールに切り替えるにはコマンドプロンプトからIAMユーザーかフェデレーティッドロールからのアクセスキーが必要です。｢aws configure｣のコマンドをたたいたら、必要な項目が表示されますので、情報を入力しましょう。 次に、config ファイルに新しいプロファイルを作成します。このプロファイルは、今回ですと｢prodaccess｣というプロファイルですが、このプロファイルが呼び出されるとAWS CLI は認証情報をリクエストします。 CLIコマンドは、その後IAMロールユーザーに対してアクセス権限を使用してコマンドを実行します。

AWSのスイッチロールでの注意点について

AWSのスイッチロールの際に、いくつか注意することがありますので先ほどの手順と合わせてそちらもしっかりと読むと、途中で失敗することなくスムーズに作業できるでしょう。 まずは、ログイン時の注意点です。AWSアカウントのルートユーザーとしてサインインすると、ロールを切り替えることはできません。IAMユーザーとしてサインインしてください。 また、AWSのロール切り替えではセッションに気を付けましょう。一部のサービスコンソールでは、ロールセッションの有効期限が切れたときに、アクションを実行せずにロールセッションを更新できます。 セッションを再認証するためにリロードを求める表示が出てくることもありますので、その場合は指示に従うようにしましょう。 各ページのロールセッション期間については公式サイトに詳しく記載されています。セッションに関して気になる方は、公式サイトを併せて読んでから作業してください。

AWSのスイッチロールを理解したら活用しよう！

いかがでしたでしょうか。今回はロールへの切り替えについて、｣その概要や手順、注意点などについて紹介しました。 AWSのスイッチロールについて調べている方であれば、すでにIAMロール自体については理解している方も多いでしょうが、IAMの概要についても軽く説明しました。 ロールの切り替え方法として、今回は紹介しませんでしたがAPIを使用した方法などもあります。マネジメントコンソールだけではロール切り替えできない場合などはそちらを活用してみましょう。 是非この記事を参考にして、ビジネスに活用してください。]]>