以前、「Change Managerによる変更管理と本番アクセス統制」の7編に渡る記事を執筆しました。 アーキテクチャは以下に示す通りで、ハイライトされた部分がハンズオンのスコープです。 関連記事は以下になります。 以下の4ユーザを作成します。 JumpアカウントでCloudFormation画面を開き、「IAM-Jump.yaml」をアップロードして実行します。 以下のユーザーグループが作成されます。 続いて、StackStesを使って、Dev、Stg、Prodアカウントへスイッチロール先のIAMロールを展開します。 セルフマネージド型のアクセス許可を実装するには、以下を参考にしてください。 アカウント番号には、展開先のAWSアカウントIDを入力します。 実行すると展開先のAWSアカウントに以下のIAMロールが作成されます。 Stg、Prodアカウントへも同様に展開します。 これで、各アカウントに必要なIAMリソースの作成が完了します。 member01 でAWSアカウントにサインインし、「ロールの切り替え」をクリックします。 StgのアカウントIDと「Stg_MemberRole」を入力し、「ロールの切り替え」をクリックします。 Stgアカウントの「Stg_MemberRole」にスイッチロールできました。 今度は、Stgアカウントの「Stg_LeaderRole」にスイッチロールしてみます。 ハンズオンは以上になります。
概要
今回は、その中で紹介したマルチアカウントにおけるJumpアカウントを用いたIMA設計の CloudFormation テンプレートを公開しましたので、その利用方法を解説します。
CloudFormationテンプレートの展開
個々のアカウント毎に展開するため、「セルフマネージドのアクセス許可」を選択します。
動作確認
member01 は LeaderRole へのスイッチロールが許可されてないので失敗します。
