ジャンプアカウントを用いてマルチアカウントを管理する【AWS】

・ジャンプアカウントを用いてマルチアカウント管理したい。
・ユーザーグループを用いてロールの切り替えを行う。

複数アカウントを管理していると、アカウント移動するたびにログアウトしてサインインいちいちするのめんどくさいですよね…。

私の環境も普段３つくらいでアカウント運用しているのですが、アカウントを跨ぐ作業が多くユーザーの切り替えがめんどくさくなったので、ジャンプアカウントを作成して、ユーザーを一括で管理したいと思います。

アカウントとの繋がりのイメージは下記の通りです

まず踏み台となるジャンプアカウントを作成し、ジャンプアカウントでユーザーを作成・管理します。

それぞれの環境にはジャンプアカウントで作成したユーザーのスイッチロールを用いてアクセスすることでユーザーの一元管理が可能となるというわけです。

ロールを作成する（ジャンプ先アカウント）

ジャンプ先アカウントに移動しロールを作成していきましょう。

まずはジャンプ先のアカウントにサインインしIAMのロール作成画面に移動してください。

ポリシーは使用したいものを選んでください、それ以外はデフォルトのまま「次へ」をクリックしてください。
※今回はEC2ReadOnlyAccessを選択した場合の手順紹介を行います。

確認、名前タグは任意で付与します。今回は「AWS1-EC2ReadOnlyAccess」にします。

作成完了しました。

ARNとコンソールをメモしてください。
ARNはポリシーの作成に、コンソールは初回スイッチする際に必要です。

ロールの切り替え信頼ポリシーを作成（ジャンプアカウント）

次にジャンプアカウントでアカウントスイッチする信頼ポリシーの作成に移ります。

IAMのダッシュボードに移動し「ポリシーを作成」をクリック

ポリシーは下記を参考にしてください。＜YOUR＿ARN＞には先ほどの手順でコピーしたARNを入力してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "<YOUR_ARN>"
        }
    ]
}

名前は任意で入力してください。それ以外の項目はデフォルトのままで結構です。

ポリシー作成完了しました。

グループを作成（ジャンプアカウント）

続いて先ほど作成したポリシーをアタッチするグループを作成していきましょう。
ちなみにグループを作成せずユーザーにも直接アタッチできるので、グループ作成しない方は飛ばしてもらって大丈夫です！

ジャンプアカウントのIAMのユーザーグループ作成画面に移動します。

ポリシーは先ほど作成したポリシーを付与してください。

お疲れ様です。以上にて全工程完了です。

確認

準備が終わったので、スイッチできるか確認してみましょう。

まず初めにジャンプアカウントでログインしてください。

ジャンプアカウントにログインした状態で、先ほどコピーしたコンソールのURLから下記の画面に遷移し「ロールの切り替え」をクリックしてください。

無事切り替えが成功しました！！！

各種確認してみましょう。今回の場合EC2ReaOnlyAccessでしたのでEC2の参照だけ可能で、それ以外はアクセスできないのを確認しました。

以上です。誰かの参考になれば幸いです。