AWSマネジメントコンソールのスイッチロール履歴を使いたくないので自動削除設定をしてみた

こんにちは、CX事業本部 IoT事業部の若槻です。

AWSマネジメントコンソールで作業をしたいアカウントへスイッチロールでアクセスをする際にはコンソールの「スイッチロール履歴」を使うと便利なので使っている人は多いのではないでしょうか。

このスイッチロール履歴の実体はHTTPクッキーです。同じブラウザ環境であれば明示的に消したり期限切れにならない限り残り続けます。

私も今までこのスイッチロール履歴を常用していたのですが、その一方で、スイッチ先アカウントの選択ミスによるセキュリティ事故がいつか起こるのではないかと内心ヒヤヒヤしながら使っていました。

そこで今回、思い切ってスイッチロール履歴を記録させない（=自動削除する）設定を行い、使えなくしてみました。

やってみた

Cookie AutoDeleteの設定

スイッチロール履歴のクッキー自動削除には、Chrome拡張機能のCookie AutoDeleteを使います。

• Cookie AutoDelete - Chrome Web Store

拡張機能をGoogle Chromeにインストールしたら、[Settings]を開きます。

[Enable Automatic Cleaning]と[Enable Greylist Cleanup on Browser Restart]にチャックを入れます。

[List of Expressions]で次のListを追加します。

• Domain Expression：.aws.amazon.com
• Options：
  • Keep All Cookies until restartをチェック
• List Type：Greylist

以上の設定により、.aws.amazon.comのタブを閉じた15秒後に.aws.amazon.comのクッキーが自動削除されるようになります。

動作確認

スイッチロール履歴が残っている状態で開いているマネジメントコンソール（.aws.amazon.comのサイト）をすべて閉じます。

閉じた後に15秒以上待ちます。

再度マネジメントコンソールにアクセスしようとするとサインインを求められるはずです。

サインインすると、スイッチロール履歴がすべて削除されています。

タブを閉じた場合でも15秒経過前に再度開き直せばスイッチロールは維持されたままでした。

スイッチロールしたい時はURLを直接開く

スイッチロールをしたい時は、パスワードマネージャー（1Passwordなど）やブラウザのブックマークに保存した以下の形式のスイッチロール用のURLを活用しましょう。URLを開くだけですぐにスイッチロールが出来て便利です。

https://signin.aws.amazon.com/switchrole?roleName=&account=&displayName=

こちらの方が事故は起こりにくいでしょう。

注意点：スイッチロール履歴の作成はされる

注意点として、スイッチロールを行ったらスイッチロール履歴の作成自体はされます。

この状態でさらに他のアカウントにスイッチロールを行ったら、クッキーが削除されない限りスイッチロール履歴は追加されていきます。スイッチロール後に別のアカウントにスイッチロールする際は気をつけるようにしましょう。

おわりに

AWSマネジメントコンソールのスイッチロール履歴を使いたくないので自動削除設定をしてみました。

今まではマネジメントコンソールのスイッチロール履歴を如何に活用するかを考え、以下のような関連記事を書いてきましたが、今後は使わない方向でいこうと思います。

• AWSマネジメントコンソールのスイッチロールの履歴をEditThisCookieで編集/個別削除する | DevelopersIO
• AWSマネジメントコンソールのスイッチロール履歴を個別削除できるブックマークレットを作ってみた | DevelopersIO
• AWSマネジメントコンソールのスイッチロールの履歴を削除したい | DevelopersIO

以上