https://dev.classmethod.jp/articles/iam-role-externalid/
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html
アカウントAで、アカウントBが引き受けできる共有ロールを、外部ID条件ありで作成する
外部IDの指定がない場合、アカウントBが共有ロールを引き受けできないこと確認する
-- 1. コマンド等のインストール
-- 1.1 aws cli version 2 インストール
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version
-- 1.2 jqインストール
sudo yum -y install jq
-- 2. 共有ロールの作成
-- 2.1 許可ポリシーの作成
{
"Version": "2012-10-17",
"Id": "id01",
"Statement": [
{
"Effect": "Allow",
"Action": [ "s3:*" ],
"Resource": "arn:aws:s3:::bucket123/*"
}
]
}
aws iam create-policy \
--policy-name policy01 \
--policy-document file://policy01.json
-- 2.2 ロールの作成
※外部ID条件あり
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Condition": {"StringEquals": {"sts:ExternalId": "hoge"} },
"Action": "sts:AssumeRole"
}
]
}
aws iam create-role \
--role-name role01 \
--assume-role-policy-document file://role01.json
-- 2.3 許可ポリシーをロールにアタッチ
aws iam attach-role-policy --policy-arn arn:aws:iam::999999999999:policy/policy01 --role-name role01
-- 3. 動作確認
※ アカウントBの管理者ユーザで実行
-- 3.1 正しい外部IDを指定した場合
aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test10 \
--external-id hoge
-- 3.2 正しくない外部IDを指定した場合
aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test11 \
--external-id fuga
-- 3.3 外部IDを指定しない場合
aws sts assume-role \
--role-arn arn:aws:iam::999999999999:role/role01 \
--role-session-name test12
-- 4. クリーンアップ
-- ロールの削除
aws iam list-roles | grep role01
aws iam detach-role-policy \
--role-name role01 \
--policy-arn arn:aws:iam::999999999999:policy/policy01
aws iam delete-role --role-name role01
-- 許可ポリシーの削除
aws iam list-policies | grep policy01
aws iam delete-policy \
--policy-arn arn:aws:iam::999999999999:policy/policy01
