他のAWSアカウントからスイッチロールするための参照専用IAMロールを作成する手順。

• マネジメントコンソールから[IAM]-[ロール]-[ロールの作成]を選択。
• [別のAWSアカウント]を選択、スイッチロール元アカウントIDを1つ入力。
  • スイッチロール元アカウントで MFA 認証を強制させる場合は [MFAが必要] にチェック、Active Directory など Idp から SAML 連携で認証している場合はチェックしない。

• ReadOnlyAccess 管理ポリシーをアタッチ。

• ロール名と説明を入力してロールを作成。

• 作成したロールの[信頼関係]タブ-[信頼関係の編集]をクリック。

• JSON を編集して複数アカウントからのスイッチロールを許可する場合は追記。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::123456789012:root",
          "arn:aws:iam::234567890123:root"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}