メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Amazon EC2 のリソースに対するアクセスの制御

セキュリティ認証情報により、AWS のサービスに対してお客様の身分が証明され、Amazon EC2 リソースなどの AWS リソースを無制限に使用できる許可が与えられます。Amazon EC2 および AWS Identity and Access Management (IAM) の機能を使用して、その他のユーザー、サービス、およびアプリケーションがお客様の Amazon EC2 のリソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。他のユーザーが AWS アカウント内のリソースをどのように使用するかを制御するには IAM を、Amazon EC2 インスタンスへのアクセスを制御するにはセキュリティグループを使用できます。Amazon EC2 のリソースの完全使用または制限付き使用のどちらを許可するか選択できます。

インスタンスへのネットワークアクセス

セキュリティグループは、1 つ以上のインスタンスに到達できるトラフィックを制御するファイアウォールとして機能します。インスタンスを起動するときに、そのインスタンスに 1 つまたは複数のセキュリティグループを割り当てることができます。セキュリティグループのそれぞれに、そのインスタンスへのトラフィックを制御するルールを追加できます。セキュリティグループルールはいつでも変更できます。新しいルールは、そのセキュリティグループが割り当てられているインスタンスすべてに自動的に適用されます。

詳細については、「Linux インスタンス用の受信トラフィックの認可」を参照してください。

Amazon EC2 のアクセス許可属性

お客様の組織には複数の AWS アカウントがある場合があります。Amazon EC2 では、Amazon Machine Image (AMI) および Amazon EBS スナップショットを使用できる追加の AWS アカウントを指定できます。このアクセス許可は AWS アカウントレベルでのみ有効です。特定の AWS アカウント内の特定ユーザーのアクセス許可を制限することはできません。指定した AWS アカウントのすべてのユーザーが、AMI またはスナップショットを使用できます。

AMI ごとに LaunchPermission 属性があり、AMI にアクセスできる AWS アカウントを制御します。詳細については、「AMI を一般公開する」を参照してください。

Amazon EBS スナップショットごとに createVolumePermission 属性があり、スナップショットを使用できる AWS アカウントを制御します。詳細については、「Amazon EBS スナップショットの共有」を参照してください。

IAM と Amazon EC2

IAM を使って以下を行えます。

  • お客様の AWS アカウントでユーザーとグループを作成する

  • お客様の AWS アカウントでユーザーごとに固有のセキュリティ認証情報を割り当てる

  • AWS のリソースを使用してタスクを実行するために各ユーザーのアクセス許可を制御する

  • 別の AWS アカウントのユーザーがお客様の AWS のリソースを共有できるようにする

  • AWS アカウントにロールを作成し、それを行えるユーザーまたはサービスを定義する

  • お客様の企業用の既存のアイデンティティを使用し、AWS のリソースを使用してタスクを実行するようにアクセス許可を与える

Amazon EC2 で IAM を使用することにより、組織のユーザーが特定の Amazon EC2 API アクションを使用してタスクを実行できるかどうか、また、特定の AWS のリソースを使用できるかどうかを制御できます。

このトピックには、以下の質問に対する回答があります。

  • IAM でグループとユーザーを作成するには、どうすればよいですか?

  • ポリシーを作成するには、どうすればよいですか?

  • Amazon EC2 でタスクを実行するには、どのような IAM ポリシーが必要ですか?

  • Amazon EC2 でアクションを実行するための許可を与えるには、どうすればよいですか?

  • Amazon EC2 の特定のリソースでアクションを実行するための許可を与えるには、どうすればよいですか?

IAM のグループとユーザーを作成する

IAM グループを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで、[Groups]、[Create New Group] の順に選択します。

  3. [Group Name] ボックスにグループの名前を入力し、[Next Step] を選択します。

  4. [Attach Policy] ページで、AWS 管理ポリシーを選択します。たとえば、Amazon EC2 では以下の AWS 管理ポリシーのいずれかが、ニーズを満たす場合があります。

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  5. [Next Step]、[Create Group] の順に選択します。

新しいグループは、[Group Name] の下に表示されます。

IAM ユーザーを作成するには、グループにユーザーを追加し、ユーザーのパスワードを作成します。

  1. ナビゲーションペインで、[Users]、[Add user] を選択します。

  2. ユーザー名を入力します。

  3. このユーザーセットのアクセス権限の種類を選択します。[Programmatic access] と [AWS Management Console access] の両方を選択します。

  4. [Console password type] で、以下のいずれかを選択します。

    • [Autogenerated password]。現在有効なパスワードポリシーがある場合、このポリシーと合致するパスワードがランダムに生成されて各ユーザーに付与されます。[Final] ページに到達すると、パスワードを表示またはダウンロードできます。

    • [Custom password]。ボックスに入力したパスワードが各ユーザーに割り当てられます。

  5. [Next: Permissions] を選択します。

  6. [Set permissions ] ページで、[Add user to group] を選択します。先に作成したグループを選択します。

  7. [Next: Review]、[Create user] の順に選択します。

  8. ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を表示するには、各パスワードおよび表示するシークレットアクセスキーの横にある [Show] をクリックします。アクセスキーを保存するには、[Download .csv] を選択し、安全な場所にファイルを保存します。

    注記

    この手順の完了後はシークレットアクセスキーを取得できません。置き場所を忘れた場合は、新しく作成しなければなりません。

  9. [Close] を選択します。

  10. ユーザーごとに認証情報 (アクセスキーとパスワード) を与えます。これにより、IAM グループ用に指定したアクセス許可に基づいてサービスを使用できるようになります。

IAM の詳細については、以下を参照してください。