弊社のあるシステムは、外に向かって通信を行うときにSquidを使ってプロキシサーバー経由で通信しています。

Webサーバ→InternalELB→Proxyサーバ（EIP固定）→外部

理由は先方会社側のサーバに通信する際にIPアドレスを固定することが一般的でかつ、殆どの接続先のACLの登録個数に制限あり、レンジ指定不可となっているためです。 Webサーバの増減に柔軟に対応する事と構築当時NATGatewayが存在しなかったためこのようなアーキを採用しています。

前置きは以上で、 直近でログのリアルタイム連携をするという要件でkinesisを利用しようと試みたところちょっとハマりました。 kinesis自体は別アカウント上にありAssumeRoleを利用して権限を与えていたのですが何故かエラーに。

結論は Webサーバ側のRoleに設定してもダメで、 実際通信する Proxyサーバ側に設定が必要でした。　当たり前といえば当たり前ですかね。。 CLIを利用するときも同様です。