IAMロールでスイッチロール（マネージメントコンソールで他のAWSアカウントのロールにスイッチすること）を実現する際に「外部ID」というオプションがあったので，何のためにあるのかまとめてみた．先に言っておくとスイッチロールを使うときに外部IDを気にする必要はない．

外部IDとは

外部IDとは，第三者用のIAMロールを作成する際にセキュリティ対策用途で設定する値のことである．このセキュリティ対策は「混乱した代理」と呼ばれる問題を解決するために実施される．「混乱した代理」の概要は以下に解説されているが，この記事を通して理解できるかと思う．

docs.aws.amazon.com

以下は実際のIAMロールを作成する画面であり，外部IDを設定できることが分かる．スイッチロールを使うときに外部IDを指定する必要はない旨もかかれている．

コンソールでは、ロールの切り替え機能を使用する外部 ID の使用はサポートされていません。 画像にも書いてある通り，スイッチロールさせたいだけなら外部IDは無視して構わない．

ユースケース

スイッチロールで使わないのであれば，どんなユースケースがあるのかを考えてみる．また「混乱した代理」とその対策である外部IDがどのように機能するのか理解する．

異なる AWS アカウントで複数の顧客をサポートするマルチテナント環境では、AWS アカウントごとに 1 つの外部 ID を使用することをお勧めします。

「混乱した代理」の概要より，複数のAWSアカウントをお客様に持つサービスを提供している会社を例にとると理解しやすい．ここでは「a-mochan」という監視系のSaaSサービスがあると仮定してユースケースを説明する．「a-mochan」もAWS環境でサービス提供をしている．

「a-mochan」では，お客様のS3バケットにあるログへ定期的にアクセスし，お客様ごとにログを可視化するダッシュボードを用意している．「a-mochan」のお客様であるClient Aは自身のAWSアカウントのS3に「a-mochan」からのアクセスを許可するためにIAMロールを作成した．その際外部IDは設定しなかった．Client A は作成したIAMロールのAmazon Resource Name（arn）を「a-mochan」上で設定し，S3のデータを「a-mochan」に取り込めるようにしたことでダッシュボードを確認することができた．

ここで，悪意のあるユーザが「a-mochan」を利用し始めた．悪意のあるユーザは，IAMロールのarnが arn:aws:iam::[AWS AccountID]:role/[Role Name] のような形で推測が容易なこともあり，Client A が作成したIAMロールのarnを推測し「a-mochan」上で設定することができた．そうすると悪意のあるユーザのダッシュボードにも Client A のS3の情報が表示され，悪意のあるユーザは Client A のダッシュボードを閲覧可能な状態になる．この状態のことを「混乱した代理」と呼ぶ．

では「混乱した代理」対策のために外部IDを利用する流れをみていく．「a-mochan」はお客様ごとに一意のIDを発行し，お客様は作成するIAMロールの外部IDとして「a-mochan」が発行したIDを指定する．そうするとClient AのAWSアカウントでは「a-mochan」からのアクセス時に外部IDが一致しているかどうかチェックするようになるので，「a-mochan」ではClient AのAWSアカウントへのリクエスト時に外部IDを付与する仕様に変更する．外部IDは「a-mochan」のシステムで発行された利用者ごとに一意なIDで，利用者はコントロール不可能な値である．そのため，悪意のあるユーザが Client A のIAMロールのarnを推測できたとしても，「a-mochan」から発行されたClient A用のID（948833852）と悪意のあるユーザ用のID（749678483） が違うので「混乱した代理」は起こらない．

このように外部IDは「混乱した代理」を引き起こさないために設定する値のことであることがわかった．

感想

AWSアカウントへIAMロールを用いてアクセスさせるようなサービスを利用する時は，外部IDの発行が実装されているか確認すべきだと感じた．外部IDを考慮していないサービスはどのような方法で「混乱した代理」を回避しているのか確認して利用するサービスを選定すべきなのかなと思う．また逆も然りで，そのようなサービスを提供する時は外部IDを考慮した実装にすべきである．

まとめ

• 外部IDの意図を理解した
• 外部IDが必要となる「混乱した代理」についてユースケースを用いて理解した