理論

1. IAMユーザーとIAMロール

• IAMユーザー は、AWS内でアクセスできるリソースやアクションを定義する認証情報（アクセスキーやパスワードなど）を持つエンティティです。各ユーザーに特定の権限を割り当てることで、リソースへのアクセスを管理します。

• IAMロール は、特定のアクションを実行できる権限を持つ一時的なアクセス権限のセットです。ロールは、他のアカウントやサービスに対してアクセスを許可する際に利用します。

2. クロスアカウントアクセス

クロスアカウントアクセスを実現するための手順：

1. 信頼ポリシー（Trust Policy）：クロスアカウントロールには、信頼ポリシー を設定する必要があります。信頼ポリシーは、どのアカウントやユーザーがそのロールを「仮定（assume）」できるかを定義するものです。このポリシーにより、どのユーザーがロールを引き受けてアクセスできるかを決定します。
• 例えば、管理アカウント の IAM ユーザーが 開発アカウント や 本番アカウント にあるリソースにアクセスできるようにするため、管理アカウント内で 信頼ポリシー を使って 各メンバーアカウントのロール を仮定できるように設定します。

2. 仮定（AssumeRole）：IAMユーザーが他のアカウントのロールを仮定すると、そのロールの権限を一時的に得ることができます。この仮定されたロールを使用して、メンバーアカウントのリソースにアクセスできます。

3. 最小権限の原則

4. VPC ピアリングとトランジットゲートウェイ

• VPCピアリング：異なるVPC間で直接通信を可能にする方法ですが、異なるアカウント間で複数のVPCが存在する場合、トラフィックが直線的に流れるわけではなく、個別に接続を設定する必要があります。

• トランジットゲートウェイ：複数のVPCを一元的に接続するための AWS のサービスで、異なるアカウントの VPC間で トランジットルーティング を使用し、より効率的な接続を実現します。特に、多数の VPC が存在する場合、トランジットゲートウェイを利用することで、ネットワークの管理が容易になります。

5. AWS Organizations と Consolidated Billing

• AWS Organizations は、複数のAWSアカウントを管理するためのサービスです。これを使うことで、複数のアカウントを1つの組織としてまとめ、コストの集約やアクセス管理を効率化できます。

• Consolidated Billing は、複数のAWSアカウントの請求を一元化する仕組みで、複数アカウントのコストを管理しやすくします。

実践

一問道場