CLI利用時のMFA、スイッチロール設定
CLI利用時のMFA、スイッチロール設定を自分でやったことがなかったため試してみた。
手順1:IAMユーザの作成
ユーザを作成するときは、「MFA」を必須とする。
手順2:スイッチロールの設定
スイッチロールの設定。「MFAが必要」のオプションを忘れずに入れる。今回はスイッチロールは、1つのAWSアカウント内のIAMユーザで行う。よって、スイッチロールのアカウントIDは、設定中のアカウントIDをそのまま入力。
手順3:PCのconfig、credentialsを修正
credentialsに作成したIAMユーザのアクセスキー、シークレットアクセスキーを入力。configには、以下のように記載。
[profile スイッチロール名]
source_profile = IAMユーザ名
mfa_serial = arn:aws:iam::XXXXXXXXXXXXX:mfa/IAMユーザ名
role_arn = arn:aws:iam::XXXXXXXXXXXXX:role/IAMユーザ名
手順4:スイッチロールの「信頼関係の編集」
ここでハマりました。スイッチロールの作成時点では、PrincipalがAWSアカウントのrootユーザになっていた。ここをIAMユーザに変更する必要がある。
以上でCLIからMFA+スイッチロールできた。