Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Amazon EC2 でのセットアップ

アマゾンウェブサービス (AWS) に既にサインアップしている場合は、Amazon EC2 をすぐに使用できます。Amazon EC2 コンソールを開き、[Launch Instance (インスタンスの起動)] を選択し、起動ウィザードの手順に従って最初のインスタンスを起動します。

AWS にまだサインアップしていない場合、または最初のインスタンスの起動についてサポートが必要な場合は、次のタスクを実行して、Amazon EC2 を使用するための設定を行ってください。

AWS にサインアップする

アマゾン ウェブ サービス(AWS)にサインアップすると、AWS アカウントが AWS 内のすべてのサービス(Amazon EC2 など)に自動的にサインアップされます。料金が発生するのは、実際に使用したサービスの分のみです。

Amazon EC2 については、お客様が利用された分のみのお支払いとなります。AWS の新規のお客様の場合、Amazon EC2 を無料で使い始めることができます。詳細については、「AWS 無料利用枠」を参照してください。

既に AWS アカウントをお持ちの場合は次のタスクに進んでください。AWS アカウントをお持ちでない場合は、次に説明する手順にしたがってアカウントを作成してください。

AWS アカウントを作成するには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

次のタスクで AWS アカウント番号が必要となるので、メモしておいてください。

IAM ユーザーを作成する

AWS のサービス (Amazon EC2 など) の場合は、サービスにアクセスする際に認証情報を提供する必要があります。このため、サービスのリソースにアクセスする権限があるかどうかがサービスによって判定されます。コンソールを使用するにはパスワードが必要です。AWS アカウントのアクセスキーを作成して、コマンドラインインターフェイスまたは API にアクセスすることができます。ただし、AWS アカウントの認証情報を使って AWS にアクセスすることはお勧めしません。代わりに AWS Identity and Access Management (IAM) を使用することをお勧めします。IAM ユーザーを作成して、管理権限を使ってこのユーザーを IAM グループに追加するか、管理権限を付与します。これで、特殊な URL と IAM ユーザーの認証情報を使って、AWS にアクセスできます。

AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソールを使用して作成できます。コンソールの使用に慣れていない場合は、「AWS マネジメントコンソール の使用」で概要を参照してください。

自分用の管理者ユーザーを作成し、そのユーザーを管理者グループに追加するには (コンソール)

  1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/AWS アカウントのルートユーザー として IAM コンソールにサインインします。

    注記

    以下のAdministratorIAMユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。

  2. ナビゲーションペインで [Users]、[Add user] の順に選択します。

  3. [ユーザー名] に「Administrator」と入力します。

  4. [AWS マネジメントコンソール access (アクセス)] の横にあるチェックボックスをオンにします。[Custom password (カスタムパスワード)] を選択し、その後テキストボックスに新しいパスワードを入力します。

  5. (オプション) AWS では、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することが必要です。必要に応じて [User must create a new password at next sign-in (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーがサインインしてからパスワードをリセットできるようにできます。

  6. [Next: Permissions (次へ: アクセス許可)] を選択します。

  7. [Set permissions (アクセス許可の設定)] で、[Add user to group (ユーザーをグループに追加)] を選択します。

  8. [Create group] を選択します。

  9. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。

  10. [Filter policies (フィルタポリシー)] を選択し、その後 [AWS managed -job function (AWS 管理ジョブの機能] を選択してテーブルのコンテンツをフィルタリングします。

  11. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group] を選択します。

    注記

    AdministratorAccess アクセス許可を使用して、AWS Billing and Cost Management コンソールを使用する前に、IAM ユーザーおよびロールの請求へのアクセスをアクティブ化する必要があります。これを行うには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

  12. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。

  13. [次へ: タグ] を選択します。

  14. (オプション) タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用の詳細については、『IAM ユーザーガイド』の「IAM エンティティのタグ付け」を参照してください。

  15. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス許可を制限する方法については、「アクセス管理」と「ポリシーの例」を参照してください。

新規の IAM ユーザーとしてサインインするには、AWS コンソールからサインアウトし、次の URL を使用します。このとき、your_aws_account_id はハイフンを除いた AWS アカウント番号です(たとえば AWS アカウント番号が 1234-5678-9012 であれば、AWS アカウント ID は 123456789012 となります)。

https://your_aws_account_id.signin.aws.amazon.com/console/

先ほど作成した IAM ユーザー名(E メールアドレスではない)とパスワードを入力します。サインインすると、ナビゲーションバーに「your_user_name @ your_aws_account_id」が表示されます。

サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成します。IAM コンソールのナビゲーションペインで、[ダッシュボード] を選択します。ダッシュボードから [Customize] を選択し、エイリアス (会社名など) を入力します。アカウントエイリアスを作成した後、サインインするには、次の URL を使用します。

https://your_account_alias.signin.aws.amazon.com/console/

アカウントの IAM ユーザーのサインインリンクを確認するには、IAM コンソールを開き、ダッシュボードの [IAM users sign-in link] の下を確認します。

IAM の詳細については、「IAM および Amazon EC2」を参照してください。

キーペアを作成する

AWS では公開キー暗号化を使用して、お客様のインスタンスのログイン情報の安全性を保護します。Linux インスタンスにはパスワードがありませんが、キーペアを使用することでインスタンスに安全にログインできます。 インスタンスを起動するときにキーペアの名前を指定し、プライベートキーを指定して、SSH を使ってログインします。これにより、

キーペアをまだ作成していない場合は、Amazon EC2 コンソールを使用して作成できます。複数のリージョンでインスタンスを起動する予定がある場合は、各リージョンでキーペアを作成する必要があります。リージョンの詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。

キーペアを作成するには

  1. 前のセクションで作成した URL を使用して AWS にサインインします。

  2. AWS ダッシュボードから、[EC2] を選択して Amazon EC2 コンソールを開きます。

  3. ナビゲーションバーで、キーペアを生成するリージョンを選択します。お客様は場所に関係なく、使用できるリージョンをどれでも選択できます。ただし、キーペアはリージョンに固有です。たとえば、米国東部 (オハイオ) リージョン でインスタンスを起動する予定がある場合、米国東部 (オハイオ) リージョン のインスタンス用にキーペアを作成する必要があります。

    
						リージョンの選択
  4. ナビゲーションペインの [NETWORK & SECURITY] で、[Key Pairs] を選択します。

    ヒント

    ナビゲーションペインはコンソールの左側にあります。ペインが表示されない場合、最小化されている可能性があります。矢印を選択してペインを展開します。必要に応じて、下へスクロールして [Key Pairs] リンクを表示します。

    
						キーペアのページを開く
  5. [Create Key Pair] を選択します。

  6. [Create Key Pair] ダイアログボックスの [Key pair name] フィールドに新しいキーペアの名前を入力し、[Create] を選択します。覚えやすい名前 (IAM ユーザー名など) を使用し、その後に -key-pair を続け、さらにリージョン名を続けます。たとえば、me-key-pair-useast2 とします。

  7. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ベースファイル名はキーペアの名前として指定した名前となり、ファイル名の拡張子は .pem となります。プライベートキーファイルを安全な場所に保存します。

    重要

    これは、プライベートキーを保存する唯一のチャンスです。インスタンスと対応するプライベートキーの起動時には、毎回インスタンスに接続するたびに、キーペアの名前を入力する必要があります。

  8. Mac または Linux コンピュータの SSH クライアントを使用して Linux インスタンスに接続する場合は、次のコマンドを使用してプライベートキーファイルの権限を設定すると、お客様以外のユーザーはそれを読み取ることができないようになります。

    chmod 400 your_user_name-key-pair-region_name.pem

    これらのアクセス権限を設定しないと、このキーペアを使用してインスタンスに接続できません。詳細については、「エラー: Unprotected Private Key File (保護されていないプライベートキーファイル)」を参照してください。

詳細については、「Amazon EC2 のキーペア」を参照してください。

キーペアを使用してインスタンスに接続するには

Mac または Linux を実行しているコンピュータから Linux インスタンスに接続するには、.pem オプションとプライベートキーへのパスを指定して、SSH クライアントに対する -i ファイルを指定します。Windows を実行しているコンピュータから Linux インスタンスに接続する場合は、MindTerm または PuTTY のどちらかを使用できます。PuTTY を使用する予定がある場合は、それをインストールしてから、次のプロシージャを使用して .pem ファイルを .ppk ファイルに変換します。

(オプション) PuTTY を使用して Windows から Linux インスタンスに接続するには

  1. http://www.chiark.greenend.org.uk/~sgtatham/putty/ から PuTTY をダウンロードしてインストールします。必ずスイート全体をインストールします。

  2. PuTTYgen を開始します (例: [開始] メニューで [All Programs (すべてのプログラム)] > [PuTTY] > [PuTTYgen] を選択)。

  3. [Type of key to generate] で、[ RSA] を選択します。

    
						PuTTYgen の SSH-2 RSA キー
  4. [ロード] を選択します。デフォルトでは、PuTTYgen には拡張子 .ppk を持つファイルだけが表示されます。.pem ファイルの場所を特定するには、すべてのタイプのファイルを表示するオプションを選択します。

    
						すべてのファイルタイプを選択します
  5. 前の手順で作成したプライベートキーファイルを選択してから、[Open] を選択します。[OK] を選択して、確認ダイアログボックスを閉じます。

  6. [Save private key (プライベートキーの保存)] を選択します。PuTTYgen に、パスフレーズなしでキーを保存することに関する警告が表示されます。[Yes] を選択します。

  7. キーペアに使用した名前と同じ名前をキーに指定します。PuTTY は自動的にファイル拡張子 .ppk を加えます。

Virtual Private Cloud (VPC) の作成

Amazon VPC を使用すると、Virtual Private Cloud (VPC) と呼ばれるユーザーが定義した仮想ネットワークに対して AWS リソースを起動できます。新しい EC2 インスタンスタイプでは、VPC でインスタンスを起動する必要があります。デフォルトの VPC がある場合は、このセクションをスキップして、次のタスク「セキュリティグループの作成」に移動できます。デフォルトの VPC があるかどうかを判断するには、Amazon EC2 コンソールを開き、ダッシュボードの [アカウント属性] で [デフォルト VPC] を探します。ダッシュボードにデフォルトの VPC が表示されていない場合は、以下の手順でデフォルト以外の VPC を作成できます。

デフォルト以外の VPC を作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションバーで、VPC のリージョンを選択します。VPC はリージョンに固有であるため、キーペアを作成したリージョンと同じリージョンを選択してください。

  3. VPC ダッシュボードで、[Launch VPC Wizard (VPC ウィザードの起動)] を選択します。

  4. [Step 1: Select a VPC Configuration] ページで、[VPC with a Single Public Subnet] が選択されていることを確認したら、[Select] を選択します。

  5. [Step 2: VPC with a Single Public Subnet] ページで、[VPC name] フィールドに、わかりやすい VPC 名を入力します。他のデフォルトの設定はそのままにしておき、[Create VPC] を選択します。確認ページで、[OK] を選択します。

VPC の詳細については、「Amazon VPC ユーザーガイド」を参照してください。

セキュリティグループの作成

セキュリティグループは、関連付けられたインスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。SSH を使用して IP アドレスからインスタンスに接続できるようにするためのルールをセキュリティグループに追加します。さらに、任意の場所からのインバウンドおよびアウトバウンドの HTTP アクセスおよび HTTPS アクセスを可能にするルールを追加できます。

複数のリージョンでインスタンスを起動する予定がある場合は、各リージョンでセキュリティグループを作成する必要があります。リージョンの詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。

前提条件

ローカルコンピューターのパブリック IPv4 アドレスが必要です。Amazon EC2 コンソールのセキュリティグループエディタは、パブリック IPv4 アドレスを自動的に検出できます。別の方法として、インターネットブラウザで検索文字列として「私の IP アドレスは何ですか?」を使用するか、次のサービス: Check IP を使用することもできます。インターネットサービスプロバイダー (ISP) 経由で、またはファイアウォールの内側から静的 IP アドレスなしで接続する場合は、クライアントコンピュータで使用されている IP アドレスの範囲を見つける必要があります。

最小限の権限でセキュリティグループを作成するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

    ヒント

    または、Amazon VPC コンソールを使用してセキュリティグループを作成することもできます。ただし、ここで説明する手順は、Amazon VPC コンソールと一致しません。したがって、前のセクションで Amazon VPC コンソールに切り替えた場合は、Amazon EC2 コンソールに戻ってここで説明する手順に従うか、『Amazon VPC 入門ガイド』の「VPC のセキュリティグループをセットアップする」の手順に従います。

  2. ナビゲーションバーで、セキュリティグループのリージョンを選択します。セキュリティグループはリージョンに固有であるため、キーペアを作成したリージョンと同じリージョンを選択してください。

    
						リージョンの選択
  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. [Create Security Group] を選択します。

  5. 新しいセキュリティグループの名前と説明を入力します。覚えやすい名前 (IAM ユーザー名など) を使用し、その後に _SG_ を続け、さらにリージョン名を続けます。たとえば、me_SG_uswest2 などです。

  6. [VPC] リストで、使用している VPC を選択します。デフォルト VPC がある場合、デフォルト VPC にはアスタリスク (*) が付いています。

  7. [Inbound] タブで、次のルールを作成し (新しいルールごとに [Add Rule] を選択)、最後に [Create] を選択します。

    • [Type] リストから [HTTP] を選択し、[Source] が [Anywhere] (0.0.0.0/0) に設定されていることを確認します。

    • [Type] リストから [HTTPS] を選択し、[Source] が [Anywhere] (0.0.0.0/0) に設定されていることを確認します。

    • [Type] リストから [SSH] を選択します。[Source] ボックスで [My IP] を選択すると、ローカルコンピューターのパブリック IPv4 アドレスが自動的にフィールドに入力されます。別の方法として、[Custom] を選択してコンピュータまたはネットワークのパブリック IPv4 アドレスを CIDR 表記で指定することもできます。CIDR 表記で個々の IP アドレスを指定するには、ルーティングサフィックス /32 を追加します (203.0.113.25/32 など)。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (203.0.113.0/24など) を指定します。

      警告

      セキュリティ上の理由で、すべての IPv4 アドレス (0.0.0.0/0) からインスタンスへの SSH アクセスを許可することはお勧めしません。ただし、それがテスト目的で短期間の場合は例外です。

詳細については、「Linux インスタンスの Amazon EC2 セキュリティグループ」を参照してください。