このセクションでは、AWS を使用して NSX Advanced Load Balancer を展開する際の認証方法として使用できる AWS ユーザー クロスアカウント AssumeRole オプションについて説明します。

NSX Advanced Load Balancer は、IAM AssumeRole 機能を使用する複数の AWS アカウントによる Amazon Web Services (AWS) の展開に対応しています。

IAM ロールは、異なるアカウントのユーザー アクセス キー ID とシークレット アクセス キーを共有するのではなく、AWS アカウント間で各アカウントの AWS リソース/API へのアクセスを提供します。

AWS クラウド タイプを作成するときに、NSX Advanced Load Balancer で新しいオプション [クロスアカウント AssumeRole を使用] を利用できます。コントローラをホストする AWS アカウント以外の AWS アカウントで AWS クラウドを作成する必要がある場合に、クロスアカウント AssumeRole を使用 機能を有効にできます。

クロスアカウント AssumeRole の使用方法

複数の AWS アカウント ID(IT:123456789012、Prod:1122333445566)を持つ架空の組織 XYZ Corp について検討してみましょう。

図 1. AWS クロスアカウント AssumeRole

一般的な環境で、XYZ Corp が AWS に NSX Advanced Load Balancer サービス エンジン クラウドを作成するには、アカウントごとにアクセス キー ID とシークレット アクセス キーが必要です。各アカウントで AWS アクセス キーを共有することは、セキュリティ面で問題があります。

さらに、すべてのキーを追跡して更新するのも面倒です。そこで、キーを使用する代わりに、すべてのアカウントで AWS IAM ロールを使用します。IAM ロール機能を使用すると、異なる AWS アカウントで AWS リソースにアクセスしたり、API にアクセスしたりできます。