メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Amazon EC2 のリソースに対するアクセスの制御

セキュリティ認証情報により、AWS のサービスに対してお客様の身分が証明され、Amazon EC2 リソースなどの AWS リソースを無制限に使用できる許可が与えられます。Amazon EC2 および AWS Identity and Access Management (IAM) の機能を使用して、その他のユーザー、サービス、およびアプリケーションがお客様の Amazon EC2 のリソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。他のユーザーが AWS アカウント内のリソースをどのように使用するかを制御するには IAM を、Amazon EC2 インスタンスへのアクセスを制御するにはセキュリティグループを使用できます。Amazon EC2 のリソースの完全使用または制限付き使用のどちらを許可するか選択できます。

インスタンスへのネットワークアクセス

セキュリティグループは、1 つ以上のインスタンスに到達できるトラフィックを制御するファイアウォールとして機能します。インスタンスを起動するときに、そのインスタンスに 1 つまたは複数のセキュリティグループを割り当てることができます。セキュリティグループのそれぞれに、そのインスタンスへのトラフィックを制御するルールを追加できます。セキュリティグループルールはいつでも変更できます。新しいルールは、そのセキュリティグループが割り当てられているインスタンスすべてに自動的に適用されます。

詳細については、「Linux インスタンス用の受信トラフィックの認可」を参照してください。

Amazon EC2 のアクセス許可属性

お客様の組織には複数の AWS アカウントがある場合があります。Amazon EC2 では、Amazon Machine Image (AMI) および Amazon EBS スナップショットを使用できる追加の AWS アカウントを指定できます。このアクセス許可は AWS アカウントレベルでのみ有効です。特定の AWS アカウント内の特定ユーザーのアクセス許可を制限することはできません。指定した AWS アカウントのすべてのユーザーが、AMI またはスナップショットを使用できます。

AMI ごとに LaunchPermission 属性があり、AMI にアクセスできる AWS アカウントを制御します。詳細については、「AMI を一般公開する」を参照してください。

Amazon EBS スナップショットごとに createVolumePermission 属性があり、スナップショットを使用できる AWS アカウントを制御します。詳細については、「Amazon EBS スナップショットの共有」を参照してください。

IAM と Amazon EC2

IAM を使って以下を行えます。

  • お客様の AWS アカウントでユーザーとグループを作成する

  • お客様の AWS アカウントでユーザーごとに固有のセキュリティ認証情報を割り当てる

  • AWS のリソースを使用してタスクを実行するために各ユーザーのアクセス許可を制御する

  • 別の AWS アカウントのユーザーがお客様の AWS のリソースを共有できるようにする

  • AWS アカウントにロールを作成し、それを行えるユーザーまたはサービスを定義する

  • お客様の企業用の既存のアイデンティティを使用し、AWS のリソースを使用してタスクを実行するようにアクセス許可を与える

Amazon EC2 で IAM を使用することにより、組織のユーザーが特定の Amazon EC2 API アクションを使用してタスクを実行できるかどうか、また、特定の AWS のリソースを使用できるかどうかを制御できます。

このトピックには、以下の質問に対する回答があります。

  • IAM でグループとユーザーを作成するには、どうすればよいですか?

  • ポリシーを作成するには、どうすればよいですか?

  • Amazon EC2 でタスクを実行するには、どのような IAM ポリシーが必要ですか?

  • Amazon EC2 でアクションを実行するための許可を与えるには、どうすればよいですか?

  • Amazon EC2 の特定のリソースでアクションを実行するための許可を与えるには、どうすればよいですか?

IAM のグループとユーザーを作成する

To create an IAM group

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. In the navigation pane, choose Groups and then choose Create New Group.

  3. For Group Name, type a name for your group, and then choose Next Step.

  4. On the Attach Policy page, select an AWS managed policy and then choose Next Step. For example, for Amazon EC2, one of the following AWS managed policies might meet your needs:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  5. Choose Create Group.

新しいグループは、[Group Name] の下に表示されます。

To create an IAM user, add the user to your group, and create a password for the user

  1. In the navigation pane, choose Users, Add user.

  2. For User name, type a user name.

  3. For Access type, select both Programmatic access and AWS マネジメントコンソール access.

  4. For Console password, choose one of the following:

    • Autogenerated password. Each user gets a randomly generated password that meets the current password policy in effect (if any). You can view or download the passwords when you get to the Final page.

    • Custom password. Each user is assigned the password that you type in the box.

  5. Choose Next: Permissions.

  6. On the Set permissions page, choose Add user to group. Select the checkbox next to the group that you created earlier and choose Next: Review.

  7. Choose Create user.

  8. To view the users' access keys (access key IDs and secret access keys), choose Show next to each password and secret access key to see. To save the access keys, choose Download .csv and then save the file to a safe location.

    重要

    You cannot retrieve the secret access key after you complete this step; if you misplace it you must create a new one.

  9. Choose Close.

  10. Give each user his or her credentials (access keys and password); this enables them to use services based on the permissions you specified for the IAM group.

IAM の詳細については、以下を参照してください。