ロールを作成するには、AWS Management Console、AWS CLI、Tools for Windows PowerShell、または IAM API を使用できます。
AWS Management Consoleを使用する場合は、ウィザードを使用し、一連のステップに従ってロールを作成できます。AWS サービス向け、AWS アカウント 向け、またはフェデレーションユーザー向けのうち、どのロールを作成するかによって、ウィザードの手順は少し異なります。
IAM ユーザーに対するロール
自分の AWS アカウント内か、自分が所有する他の AWS アカウントに定義されているロールにアクセス許可を委任する場合に、このロールを作成します。あるアカウントのユーザーは、同じアカウントまたは別のアカウントのロールに切り替えることができます。そのロールを使用している間、ユーザーはアクションだけを実行して、ロールによって許可されているリソースのみにアクセスできますが、元のユーザーアクセス権限は停止されます。ユーザーがそのロールを終了すると、元のユーザーのアクセス権限に戻ります。
詳細については、「IAM ユーザーにアクセス許可を付与するロールを作成する」を参照してください。
クロスアカウントアクセス用のロールの作成の詳細については、「カスタム信頼ポリシーを使用してロールを作成する 」を参照してください。
AWS サービスに対するロール
自分に代わってアクションを実行できるサービスにアクセス許可を委任する場合に、このロールを作成します。サービスロールをサービスに渡す場合は、そのロールの IAM ポリシーにアクセス許可を設定して、サービスが自身に関連付けられているアクションを実行できるようにします。AWS サービスごとに異なるアクセス許可が必要です。
サービスロールの作成の詳細については、「AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。
サービスにリンクされたロールの作成の詳細については、「サービスにリンクされたロールの作成」を参照してください。
ID フェデレーションに対するロール
AWS の外部に既に ID を持っているユーザーにアクセス許可を委任する場合に、このロールを作成します。ID プロバイダーを使用すると、カスタムサインインコードを作成したり独自のユーザー ID を管理したりする必要がありません。外部ユーザーは IdP を使用してサインインします。これらの外部 ID に、アカウントの AWS リソースを使用するアクセス許可を与えることができます。ID プロバイダーは、アプリケーションと共にアクセスキーのような長期的セキュリティ認証情報を配布したり埋め込んだりする必要がないので、AWS アカウントの安全性の維持に役立ちます。
詳細については、「サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する」を参照してください。
