Amazon CloudWatch 用 Identity and Access Management - Amazon CloudWatch

Amazon CloudWatch 用 Identity and Access Management

Amazon CloudWatch へのアクセスには、認証情報が必要です。これらの認証情報は、クラウドリソースに関する CloudWatch メトリクスデータの取得などの AWS リソースへの許可が必要です。下のセクションでは、AWS Identity and Access Management (IAM) および CloudWatch を使用して、リソースにアクセスできるユーザーを制御することで、リソースのセキュリティを確保する方法について詳しく説明します。

Authentication

AWS には、次のタイプのアイデンティティでアクセスできます。

  • AWS アカウントのルートユーザー – AWS にサインアップするときは、AWS アカウントに関連付けられた E メールアドレスとパスワードを指定します。これらは AWS アカウントユーザー認証情報であり、これらの情報を使用すると、すべての AWS リソースへの完全なアクセスが可能になります。

    重要

    セキュリティ上の理由から、お客様のアカウントへの完全な許可を持つ管理者 (IAM ユーザー) を作成するためにのみ、AWS アカウントユーザー認証情報を使用することをお勧めします。その後、この管理者を使用して、制限されたアクセス権限を持つ他の IAM ユーザーとロールを作成できます。詳細については、IAM ユーザーガイドIAM ベストプラクティスおよび管理者のユーザーおよびグループの作成を参照してください。

  • IAM ユーザーIAM ユーザーは、特定のカスタム許可 (例えば、CloudWatch でメトリクスを表示する許可) を持つ AWS アカウント内のアイデンティティです。IAM のユーザー名とパスワードを使用して、AWS Management ConsoleAWS フォーラムAWS Support センターなどのセキュリティ保護された AWS ウェブページにサインインできます。

     

    ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを生成することもできます。いくつかの SDK の 1 つまたは AWS Command Line Interface (CLI) を使用してプログラムで AWS サービスにアクセスするときに、これらのキーを使用します。SDK と AWS CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。CloudWatch では、署名バージョン 4 がサポートされています。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、AWS の全般リファレンス署名バージョン 4 署名プロセスを参照してください。

     

  • IAM ロールIAM ロールは、特定のアクセス権限を持ち、アカウントで作成できるもう 1 つの IAM ID です。これは IAM ユーザーに似ていますが、特定のユーザーに関連付けられていません。IAM ロールでは、AWS サービスおよびリソースにアクセスするために使用できる一時的なアクセスキーを取得することができます。IAM ロールと一時的な認証情報は、次の状況で役立ちます。

     

    • フェデレーティッドユーザーアクセス – IAM ユーザーを作成するのではなく、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブアイデンティティプロバイダー (IdP) の既存のアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、IdP を通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。詳細については、IAM ユーザーガイドの「フェデレーティッドユーザーとロール」を参照してください。

       

    • クロスアカウントアクセス – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするための権限を別の AWS アカウントに付与することができます。この例については、「IAM ユーザーガイド」の「チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任」を参照してください。

       

    • AWS のサービスのアクセス – アカウントで IAM ロールを使用して、アカウントのリソースにアクセスするために AWS のサービスに必要な許可を付与できます。例えば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットに保存されたデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドの「AWS のサービスにアクセス権限を委任するロールの作成」を参照してください。

       

    • Amazon EC2 で実行されるアプリケーション – インスタンスで実行され、API リクエストを行うアプリケーションによって使用するために EC2 インスタンス内にアクセスキーを格納する代わりに、IAM ロールを使用して、これらのアプリケーション用の一時認証情報を管理できます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、IAM ユーザーガイドAmazon EC2 上のアプリケーションに対するロールの使用を参照してください。

アクセスコントロール

有効な認証情報があればリクエストを認証できますが、アクセス許可がなければ CloudWatch リソースの作成やアクセスはできません。例えば、CloudWatch ダッシュボードウィジェットの作成や、メトリクスの表示などにはアクセス許可が必要です。

以下のセクションでは、CloudWatch のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。