AWS::IAM::Role
AWS Identity and Access Management (IAM) ロールを作成します。IAM ロールを使用すると、EC2 インスタンスで実行されているアプリケーションが AWS リソースに安全にアクセスできます。
IAM ロールの詳細については、『AWS Identity and Access Management ユーザーガイド』の「ロールを使用する」を参照してください。
トピック
構文
AWS CloudFormation テンプレートでこのエンティティを宣言するには、次の構文を使用します。
JSON
{ "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": {JSON}, "ManagedPolicyArns": [String, ...], "MaxSessionDuration":Integer, "Path":String, "PermissionsBoundary":String, "Policies": [Policies, ...], "RoleName":String} }
YAML
Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument:JSON objectManagedPolicyArns: -文字列MaxSessionDuration:IntegerPath:StringPermissionsBoundary:StringPolicies: -PoliciesRoleName:String
プロパティ
AssumeRolePolicyDocument-
このロールに関連付けられている信頼ポリシー。ロールに関連付けることができるロール割り当てポリシーは 1 つだけです。ロール割り当てポリシーの例については、「テンプレートの例」を参照してください。IAM ポリシーで使用できるエレメントの詳細については、IAM ユーザーガイド の「IAM ポリシーエレメントの参照」を参照してください。
Required: Yes
Type: JSON ポリシードキュメント。
注記
AWS Identity and Access Management (IAM) では、ポリシーが JSON 形式である必要があります。ただし、YAML 形式のテンプレートでは、JSON または YAML 形式で IAM ポリシーを作成できます。AWS CloudFormation は、IAM に送信する前に常にポリシーを JSON 形式に変換します。
更新に伴う要件: 中断はありません。
ManagedPolicyArns-
このロールにアタッチする 1 つ以上の管理ポリシー ARN。
Required: No
Type: List of String values
更新に伴う要件: 中断はありません。
MaxSessionDuration-
指定したロールの最大セッション時間 (秒単位)。ロールを引き受けるために AWS CLI または API を使用する人は、任意の
DurationSecondsAPI パラメーターまたはduration-secondsCLI パラメーターを使用して期間を指定できます。最小値は 3600 です。最大値は 43200 です。Required: No
Type: Integer
更新に伴う要件: 中断はありません。
Path-
このロールに関連付けるパス。IAM パスについては、IAM ユーザーガイド の「分かりやすい名前とパス」を参照してください。
Required: No
Type: String
更新に伴う要件: 置換
PermissionsBoundary-
ロールのアクセス許可の境界を設定するために使用するポリシーの ARN。最小長は 20 です。最大長は 2048 です。
Required: No
Type: String
更新に伴う要件: 中断はありません。
Policies-
このロールに関連付けるポリシーです。サンプルテンプレートについては、「テンプレートの例」を参照してください。
重要
ロール、ユーザー、またはグループの各ポリシー名は一意である必要があります。重複してしまうと、IAM ロールの更新は失敗します。
注記
外部ポリシー (
AWS::IAM::PolicyやAWS::IAM::ManagedPolicyなど) にRefを持つロールがあり、またリソース (AWS::ECS::Serviceなど) にも同じロールにRefがある場合には、DependsOn属性をリソースに追加することによってこのリソースが外部ポリシーに依存します。この依存性により、ロールのポリシーがリソースのライフサイクルを通じて利用できるようになります。たとえば、AWS::ECS::Serviceリソースを持つスタックを削除するときに、DependsOn属性により、AWS CloudFormation はロールのポリシーを削除する前に必ずAWS::ECS::Serviceリソースを削除します。Required: No
タイプ: IAM ポリシー のリスト
更新に伴う要件: 中断はありません。
RoleName-
IAM ロールの名前。有効な値については、IAM API リファレンス の
CreateRoleアクションのRoleNameパラメータを参照してください。名前を指定しない場合、AWS CloudFormation は一意の物理 ID を生成し、その ID をグループ名として使用します。重要
名前を指定すると、このリソースの置換が必要な更新はできません。中断が不要であるか、一定の中断が必要な更新であれば、行うことができます。リソースを置き換える必要がある場合は、新しい名前を指定します。
名前を指定した場合、テンプレートの機能を承認するために
CAPABILITY_NAMED_IAM値を指定する必要があります。詳細については、「AWS CloudFormation テンプレートでの IAM リソースの承認」を参照してください。警告
IAM リソースに名前を付けると、複数のリージョンで同じテンプレートを再利用した場合に、回復不能なエラーが発生する場合があります。これを防止するために、
Fn::JoinとAWS::Regionを使用して、次の例のように地域固有の名前を作成することをお勧めします (例{"Fn::Join": ["", [{"Ref": "AWS::Region"}, {"Ref": "MyResourceName"}]]})。必須: いいえ
Type: String
更新に伴う要件: 置換
IAM ロールのポリシーに関する注意事項
IAM ポリシーとポリシードキュメントの一般情報については、IAM ユーザーガイド の「ポリシーの書き方」を参照してください。
戻り値
参照番号
このリソースの論理 ID が Ref 組み込み関数に提供されると、Ref によりリソース名が返されます。 例:
{ "Ref": "RootRole" }
論理 ID が "RootRole" である IAM::Role の場合、Ref はそのリソース名を返します。
Ref 関数の使用方法の詳細については、「Ref」を参照してください。
Fn::GetAtt
Fn::GetAtt は、このタイプの指定された属性の値を返します。以下には、利用可能な属性とサンプル戻り値のリストが示されます。
Arn-
ロールの Amazon リソースネーム (ARN) を返します。例:
{"Fn::GetAtt" : ["MyRole", "Arn"] }この場合、
“arn:aws:iam::1234567890:role/MyRole-AJJHDSKSDF”などの値が返されます。 RoleId-
ロールを識別する安定した一意の文字列を返します。たとえば、
AIDAJQABLZS4A3QDU576Qと指定します。ID の詳細については、IAM ユーザーガイド の「IAM ID」を参照してください。
Fn::GetAtt の使用の詳細については、「Fn::GetAtt」を参照してください。
テンプレートの例
埋め込みポリシーとインスタンスプロファイルを含む IAM ロール
この例は、IAM::Role の埋め込みポリシーを示します。ポリシーは、IAM::Role Policies プロパティにインラインで指定されます。
JSON
{ "AWSTemplateFormatVersion": "2010-09-09", "Resources": { "RootRole": { "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": { "Version" : "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ec2.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }, "Path": "/", "Policies": [ { "PolicyName": "root", "PolicyDocument": { "Version" : "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } } ] } }, "RootInstanceProfile": { "Type": "AWS::IAM::InstanceProfile", "Properties": { "Path": "/", "Roles": [ { "Ref": "RootRole" } ] } } } }
YAML
AWSTemplateFormatVersion: "2010-09-09" Resources: RootRole: Type: "AWS::IAM::Role" Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: "Allow" Principal: Service: - "ec2.amazonaws.com" Action: - "sts:AssumeRole" Path: "/" Policies: - PolicyName: "root" PolicyDocument: Version: "2012-10-17" Statement: - Effect: "Allow" Action: "*" Resource: "*" RootInstanceProfile: Type: "AWS::IAM::InstanceProfile" Properties: Path: "/" Roles: - Ref: "RootRole"
外部ポリシーとインスタンスプロファイルを含む IAM ロール
この例では、Policy リソースと InstanceProfile リソースは、IAM ロールの外側で指定されています。そこで、それぞれの Roles プロパティで対応するロール名 (RootRole) を指定することによってそのロールを参照しています。
JSON
{ "AWSTemplateFormatVersion": "2010-09-09", "Resources": { "RootRole": { "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": { "Version" : "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ec2.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }, "Path": "/" } }, "RolePolicies": { "Type": "AWS::IAM::Policy", "Properties": { "PolicyName": "root", "PolicyDocument": { "Version" : "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] }, "Roles": [ { "Ref": "RootRole" } ] } }, "RootInstanceProfile": { "Type": "AWS::IAM::InstanceProfile", "Properties": { "Path": "/", "Roles": [ { "Ref": "RootRole" } ] } } } }
YAML
AWSTemplateFormatVersion: "2010-09-09" Resources: RootRole: Type: "AWS::IAM::Role" Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: "Allow" Principal: Service: - "ec2.amazonaws.com" Action: - "sts:AssumeRole" Path: "/" RolePolicies: Type: "AWS::IAM::Policy" Properties: PolicyName: "root" PolicyDocument: Version: "2012-10-17" Statement: - Effect: "Allow" Action: "*" Resource: "*" Roles: - Ref: "RootRole" RootInstanceProfile: Type: "AWS::IAM::InstanceProfile" Properties: Path: "/" Roles: - Ref: "RootRole"
以下の資料も参照してください。
