Amazon EC2 の IAM ポリシー
デフォルトでは、ユーザーには Amazon EC2 リソースを作成または変更、または Amazon EC2 API、Amazon EC2 コンソールあるいは CLI を使用するタスクを実行する許可がありません。ユーザーがリソースを作成または変更、およびタスクを実行できるようにするには、IAM ポリシーを作成する必要があります。これによって、必要な特定のリソースおよび API アクションを使用するための許可をユーザーに付与し、その後、ポリシーをその許可が必要なユーザー、グループまたは IAM ロールにアタッチします。
ポリシーをユーザー、ユーザーのグループ、またはロールにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの許可が許可または拒否されます。IAM ポリシーの一般的な情報については、「IAM ユーザーガイド」の「IAM の許可とポリシー」を参照してください。カスタム IAM ポリシーの管理と作成の詳細については、「IAM ポリシーの管理」を参照してください。
ご利用スタートにあたって
IAM ポリシーは、1 つ以上の Amazon EC2 アクションを使用するアクセス許可を付与または拒否する必要があります。さらに、このアクションで使用できるリソース (すべてのリソースか、場合によっては特定のリソース) も指定する必要があります。このポリシーには、リソースに適用する条件も含めることができます。
Amazon EC2 では、リソースレベルのアクセス許可が部分的にサポートされます。これは、一部の EC2 API アクションでは、ユーザーがそのアクションに使用できるリソースを指定できないことを意味します。代わりに、ユーザーがそのアクションにすべてのリソースを使用することを許可する必要があります。
タスク | トピック |
---|---|
ポリシーの基本構造について | ポリシー構文 |
ポリシーでのアクションの定義 | Amazon EC2 のアクション |
ポリシーでの特定のリソースの定義 | Amazon EC2 用の Amazon リソースネーム (ARN) |
リソースの使用への条件の適用 | Amazon EC2 の条件キー |
Amazon EC2 での使用可能なリソースレベルのアクセス許可の使用 | Amazon EC2 のアクション、リソース、条件キー |
ポリシーのテスト | |
IAM ポリシーを生成する | |
CLI または SDK のサンプルポリシー | AWS CLI または AWS SDK で使用するサンプルポリシー |
Amazon EC2 コンソールのサンプルポリシー | Amazon EC2 コンソールで機能するサンプル ポリシー |
ユーザー、グループ、およびロールに許可を付与する
以下は、ニーズを満たす場合に利用できる AWS 管理ポリシーの例です。
-
PowerUserAccess
-
ReadOnlyAccess
-
AmazonEC2FullAccess
-
AmazonEC2ReadOnlyAccess
Amazon EC2 で使用できる AWS 管理ポリシーの詳細については、「Amazon Elastic Compute Cloud の AWS 管理ポリシー」を参照してください。
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
AWS IAM Identity Center (successor to AWS Single Sign-On) のユーザーとグループ:
アクセス許可セットを作成します。「AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイド」の「シークレットの作成と管理」の手順に従ってください。
-
ID プロバイダーを通じて IAM で管理されているユーザー:
ID フェデレーションのロールを作成する。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。
-
IAM ユーザー:
-
ユーザーが設定できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。
-
(非推奨) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス許可の追加」の指示に従います。
-