Amazon EC2 の Identity and Access Management - Amazon Elastic Compute Cloud
インスタンスへのネットワークアクセスAmazon EC2 のアクセス許可属性IAM および Amazon EC2

Amazon EC2 の Identity and Access Management

セキュリティ認証情報により、AWS サービスでユーザーの身分が証明され、Amazon EC2 リソースなどの AWS リソースを無制限に使用できる許可が付与されます。Amazon EC2 および AWS Identity and Access Management (IAM) の機能を使用して、他のユーザー、サービス、およびアプリケーションがユーザーの Amazon EC2 リソースを使用できるようにします。その際、ユーザーのセキュリティ認証情報は共有されません。他のユーザーが AWS アカウントのリソースを使用する方法を制御するには IAM を、Amazon EC2 インスタンスへのアクセスを制御するにはセキュリティグループを使用できます。Amazon EC2 のリソースの完全使用または制限付き使用のどちらを許可するか選択できます。

IAM を使用して AWS リソースを保護するためのベストプラクティスについては、「IAM でのセキュリティのベストプラクティス」を参照してください。

コンテンツ

インスタンスへのネットワークアクセス

セキュリティグループは、1 つ以上のインスタンスに到達できるトラフィックを制御するファイアウォールとして機能します。インスタンスを起動するときに、そのインスタンスに 1 つまたは複数のセキュリティグループを割り当てることができます。セキュリティグループのそれぞれに、そのインスタンスへのトラフィックを制御するルールを追加できます。セキュリティグループルールはいつでも変更できます。新しいルールは、そのセキュリティグループが割り当てられているインスタンスすべてに自動的に適用されます。

詳細については、Windows インスタンス用のインバウンドトラフィックの承認を参照してください。

Amazon EC2 のアクセス許可属性

ユーザーの組織には、複数のAWS アカウントがある場合があります。Amazon EC2 では、Amazon Machine Image (AMI) および Amazon EBS スナップショットを使用できる追加の AWS アカウントを指定できます。このアクセス権限は AWS アカウントレベルでのみ有効です。特定の AWS アカウント内の特定ユーザーのアクセス権限を制限することはできません。指定した AWS アカウントのすべてのユーザーが、AMI またはスナップショットを使用できます。

AMI ごとに LaunchPermission 属性があり、AMI にアクセスできる AWS アカウントを制御します。詳細については、を参照してください。AMI の公開

Amazon EBS スナップショットごとに createVolumePermission 属性があり、スナップショットを使用できる AWS アカウントを制御します。詳細については、「Amazon EBS ユーザーガイド」の「Amazon EBS スナップショットの共有」を参照してください。

IAM および Amazon EC2

IAM を使って以下を行えます。

  • AWS アカウント にユーザーとグループを作成する

  • お客様の AWS アカウント でユーザーごとに固有のセキュリティ認証情報を割り当てる

  • AWS のリソースを使用してタスクを実行するために各ユーザーのアクセス権限を制御する

  • 別の AWS アカウント のユーザーがお客様の AWS のリソースを共有できるようにする

  • AWS アカウント にロールを作成し、それを行えるユーザーまたはサービスを定義する

  • お客様の企業用の既存のアイデンティティを使用し、AWS のリソースを使用してタスクを実行するようにアクセス権限を与える

Amazon EC2 と組み合わせて IAM を使用すると、組織のユーザーが特定の Amazon EC2 API アクションを使用してタスクを実行できるか、そして、特定の AWS リソースを使用できるかを制御できます。

このトピックには、以下の質問に対する回答があります。

  • IAM でグループとユーザーを作成するには、どうすればよいですか?

  • ポリシーを作成するには、どうすればよいですか?

  • Amazon EC2 でタスクを実行するには、どのような IAM ポリシーが必要ですか?

  • Amazon EC2 でアクションを実行するための許可を与えるには、どうすればよいですか?

  • Amazon EC2 の特定のリソースでアクションを実行するための許可を与えるには、どうすればよいですか?

ユーザー、グループ、ロールを作成する

AWS アカウント 用のユーザーとグループを作成して、必要な許可を割り当てることができます。ベストプラクティスとして、ユーザーは IAM ロールを引き受けて許可を取得する必要があります。AWS アカウント のユーザーとグループを設定する方法の詳細については、「Amazon EC2 を使用するように設定する」を参照してください。

IAM ロールは、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、ID が AWS で実行できることとできないことを決定する許可ポリシーを持つ AWS ID であるという点で IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。IAM ロールを作成して許可を付与する方法の詳細については、「Amazon EC2 の IAM ロール」を参照してください。

IAM の詳細については、以下を参照してください。