スイッチロールを可能とするユーザーを OU 配下に限定する方法
aws:PrincipalOrgID 条件キーや、aws:PrincipalOrgPaths 条件キーを使用することで、スイッチロールを可能とする IAM ユーザーを OU 配下のアカウントに限定することができます。
2025.03.12困っていること
スイッチロールを可能とするユーザーを特定の OU 配下に限定したいです。
何かいい方法はありますか?
どう解決すればいいの?
aws:PrincipalOrgID 条件キーを使用することで、AWS Organizations の組織ルート内のアカウントからのアクセスのみに制限することができます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPutObject",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-<OrgID>"
}
}
}
]
}
また、条件キーとして aws:PrincipalOrgPaths を使用して、組織ルート、または、OU(組織単位)内のアカウントからのアクセスのみに制限することができます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalOrgPaths": "o-<OrgID>/ou-<OUID>/"
}
}
}
]
}
なお、ワイルドカードを使いたい場合は、条件演算子として StringLike を使用します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": "o-<OrgID>/*/"
}
}
}
]
}
補足
上記の信頼ポリシーを設定した場合に下記の警告が出現しますが、実際には Condition 要素で制限がかかっているため、問題はありません。
参考資料
AWS グローバル条件コンテキストキー - AWS Identity and Access Management
IAM JSON ポリシー要素: 条件演算子 - AWS Identity and Access Management
AWS Organizations の用語と概念 - AWS Organizations
![[アップデート] Allowed AMI機能とAWS Configが統合し、許可されていないAMIで起動されたインスタンスが検出できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-a6e95eb31e139a0dd18804b47c4bad89/31391385ac8a4078c1c8b5d2b2ea5282/aws-config)
![【Security Hub修復手順】[DataSync.1] DataSyncタスクではログ記録が有効になっている必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub)
![[アップデート] Amazon EventBridge Rule がすべてのターゲットタイプの認可に実行ロールを利用できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-48037b4d08a5d4b9224074300706dc60/b96cdc54bea6dbeec12fad9b23858b1a/amazon-eventbridge)
