概要
sts:Assume Roleは第三者に自分のAWSアカウントのAPI権限を委譲する仕組みです。
ここで言う第三者というのは
のように様々なモノに委譲が可能です。
sts:Assume Role
どういう用途として使える?
具体的にこの仕組みがどういったことに使えるかをざっと挙げてみます。
ポリシー (付与する権限) |
信頼関係 (誰に付与するか) |
どうなるか |
---|---|---|
EC2ReadOnly | EC2 | EC2インスタンスから http://169.254.169.254/latest/meta-data にアクセスが可能 |
PowerUser | IAMユーザ | IAMユーザ自体は権限を持っていなくても、 AssumeRoleでPowerUserの 一時的な権限を取得できる |
S3ReadOnly | 他AWSアカウント | 他AWSアカウントから自分の S3バケットへアクセス可能 |