他のAWSアカウントからスイッチロールするための参照専用IAMロールを作成する手順。
- マネジメントコンソールから[IAM]-[ロール]-[ロールの作成]を選択。
- [別のAWSアカウント]を選択、スイッチロール元アカウントIDを1つ入力。
- スイッチロール元アカウントで MFA 認証を強制させる場合は [MFAが必要] にチェック、Active Directory など Idp から SAML 連携で認証している場合はチェックしない。
- ReadOnlyAccess 管理ポリシーをアタッチ。
- ロール名と説明を入力してロールを作成。
- 作成したロールの[信頼関係]タブ-[信頼関係の編集]をクリック。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::234567890123:root" ] }, "Action": "sts:AssumeRole" } ] }