ソースアカウントから宛先アカウントにアクセスする場合を例に挙げます。ソースアカウントから宛先アカウントに IAM ロールを引き受けさせるために、AssumeRole API の IAM ユーザーアクセス許可を付与します。宛先 IAM ロールの信頼関係で IAM ユーザーを指定する必要があります。
注:ロール連鎖でユーザーからロールを使用するのではなく、ソース IAM ロールから宛先 IAM ロールにロールを引き受けさせることもできます。ロール連鎖は、AWS コマンドラインインターフェイス (AWS CLI) や API などのプログラムによるアクセスでのみ機能します。ロール変更は AWS マネジメントコンソールでは使用できません。
解決策
IAM を使用して別の AWS アカウントのリソースにアクセスするには、次のアクションを実行します。
注: IAM ロールとユーザーの作成、編集を行うアクセス許可がない場合は、アカウントオーナーにサポートを依頼したうえで、プロセスを完了してください。アカウントとリソースへのアクセスを制限して、信頼するエンティティだけがアクセスできるようにするのがベストプラクティスです。
このポリシーを変更すると、必要な数のソースエンティティを必要な数の宛先ロールで引き受けることができます。たとえば、宛先アカウントの信頼ポリシーの Principal 値を**"AWS": "SOURCE-ACCOUNT-ID"** に変更すると、ロールを引き継ぐアクセス許可を持つソースアカウントのすべてのエンティティが宛先アカウントロールを引き受けることができます。詳細については、「プリンシパルの指定方法」および「ポリシーの作成、編集」を参照してください。