IAMユーザが承認済みのロールを渡す(PassRole)
#IAM
iam:PassRole
IAM ユーザーにアタッチされて、承認済みのロールのみを渡すことを許可する
iam:GetRole
ロールの詳細
code:json
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::<account-id>:role/EC2-roles-for-XYZ-*"
}]
}
このポリシーではResouceに合致するロールのみを渡すことができる
AssumeRoleとPassRole
AssumeRole
STSを利用して一時的な認証情報を得る
PassRole
権限
ロールを渡す操作を許可する権限
https://gyazo.com/04e6fbd7eb11ab94c6d4ea9269c2797e
PassRoleがないとEC2インスタンスすら立ち上げられないこともあるよ
AmazonEC2FullAccessにはiam:PassRoleの許可が含まれていない
→ロールをアタッチしたEC2インスタンスを作成しようとするとエラーになる
PassRoleは忘れてしまいがち
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた
hiroki.icon超絶参考になった