選択したIAMユーザーに役割の切り替えを許可します。

Question

2つのAWSアカウント（Account A & B）があります。私はAccount BのIAMユーザーのほうが、AWS IAMの役割によってAccount Aのリソースにアクセスすることを許可したいと考えています。

私はロールを作成しており、正常に動作します。しかし、ロール名を保持しているIAMユーザーは、ロールを切り替えてリソースにアクセスできることがわかります。

アカウントBの特定のユーザーだけが役割に切り替えることを許可する方法はありますか？

信頼ポリシーステートメントは、あなたがグループに役割を引き受けるように制限する必要があるユーザーを追加することができますfollows-

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Principal": { 
     "AWS": "arn:aws:iam::Account-B:root" 
     }, 
     "Action": "sts:AssumeRole" 
    } 
    ] 
} 

Answer 1

ようです。次に、明示的な拒否を使用して、IAMポリシーをIAMグループに添付することができます。

{ 
    "Version": "2012-10-17", 
    "Statement": { 
    "Effect": "Deny", 
    "Action": "sts:AssumeRole", 
    "Resource": "arn:aws:iam::Account_A_ID:role/Rolename" 
    } 
} 

http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html#tutorial_cross-account-with-roles.html#tutorial_cross-account-with-roles-2