CLI利用時のMFA、スイッチロール設定を自分でやったことがなかったため試してみた。

手順1：IAMユーザの作成

ユーザを作成するときは、「MFA」を必須とする。

手順2：スイッチロールの設定

スイッチロールの設定。「MFAが必要」のオプションを忘れずに入れる。今回はスイッチロールは、1つのAWSアカウント内のIAMユーザで行う。よって、スイッチロールのアカウントIDは、設定中のアカウントIDをそのまま入力。

手順3：PCのconfig、credentialsを修正

credentialsに作成したIAMユーザのアクセスキー、シークレットアクセスキーを入力。configには、以下のように記載。

[profile スイッチロール名]
source_profile = IAMユーザ名
mfa_serial = arn:aws:iam::XXXXXXXXXXXXX:mfa/IAMユーザ名
role_arn = arn:aws:iam::XXXXXXXXXXXXX:role/IAMユーザ名

手順4：スイッチロールの「信頼関係の編集」

ここでハマりました。スイッチロールの作成時点では、PrincipalがAWSアカウントのrootユーザになっていた。ここをIAMユーザに変更する必要がある。

以上でCLIからMFA＋スイッチロールできた。