自社のAWSのアカウントで他社のアカウントも管理する

AWSはクソ高いので自社ではほとんど使わないのですが、お客さんの会社ではAWS導入が多くなってきて管理が大変になってきました。

IAMを各アカウントで作っても良いのですが、IAMのアカウントIDをメモっとくのも大変だしログインURLをブックマークするのもスマートじゃないし、、

あと、AWSはログインページが若干重い印象があり、ログアウトしたりログインするだけでもストレスだったりします。

 

そんなわけで、何かいい方法ないものかと考えていたのですが、

自社のAWSアカウントにIAMユーザを作り、そのユーザで他社のIAMにログインするっていう便利なワザがあることを発見しました(AWSユーザでは当たり前のことかもしれないけど、、)

このやり方だと、自社のIAMは踏み台にすぎないので、IAMの権限は最小で良くて、万が一社員とか外注さんに渡したIAMアカウントでミスを犯しても、請求されることはないし割りとセキュアです。

手順1. IAMで開発者用のグループを作成する

の新規ユーザごとに共通ルールを適応させるため開発者用のグループを作成します。

 

アクセス許可のタブで

ポリシーのアタッチ→をアタッチします。

 

 

これでログインするだけのミニマム権限のユーザグループができあがりました。

ユーザを作成して先程作成したグループに追加します。

 

手順3. 他社AWSアカウントでログインしてロール作成

他社AWSアカウントにログインしてIAM→ロール→別のAWSアカウントを選択します。

自社のアカウントIDを入れて必要なポリシーをアタッチします。

手順4. IAM ReadOnlyユーザに権限を与える

上記の手順でヘッダーナビのユーザ名からロール切り替えをすることで、アカウントスイッチできるのですが、最初に作成したGroupはIAM ReadOnlyなのでさらに手順が必要です。

 

自社のアカウントに戻り、ポリシーを作成します。

便利!AWSが好きになりました。

 

The following two tabs change content below.
西尾学
会社の代表やってます。遊ぶように仕事やってます。
サイト制作無料相談 サイト制作無料相談