何か作業を行う際に、作業用のIAMロールへ スイッチロール(AssumeRole)するケースは多いと思います。 そのときの権限は基本的には 「そのロールにアタッチされたポリシー」です。 ですが、その権限を AssumeRole 時に狭められることを最近(今更)知りました。 「セッションポリシー」というものを使って スイッチロール先での権限を狭められるとのこと。 今回はこのセッションポリシーを適用して スイッチロール(AssumeRole)を試してみました。 まずは普通にAssumeRole まずは aws sts assume-role コマンドを使った いつもどおりのスイッチロールを紹介します。 以下シンプルなコマンドサンプルです。 ### スイッチ先のロールARN role_arn="arn:aws:iam::123456789012:role/example-dev-role" ##