ロールの作成とポリシーのアタッチ (コンソール)

上記のいくつかのポリシーでは、ロールを利用して、AWS サービスがお客様に代わってオペレーションを実行するアクセス許可をそれらのサービスに付与しています。ジョブ機能ポリシーは、使用しなければならない正確なロール名、または、使用可能な名前の前半を少なくとも含んでいるプレフィックスを指定します。これらのロールのいずれかを作成するには、次の手順のステップを実行します。

AWS のサービス のロールを作成するには (IAM コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. IAM コンソールのナビゲーションペインで、[ロール]、[ロールを作成] を選択します。

3. 信頼できるエンティティタイプ で、AWS のサービス を選択します。

4. [サービスまたはユースケース] でサービスを選択し、次にユースケースを選択します。ユースケースは、サービスに必要な信頼ポリシーを含める定義になります。

5. [Next] を選択します。

6. [アクセス許可ポリシー] では、オプションは選択したユースケースによって異なります。

   • サービスがロールのアクセス許可を定義している場合、アクセス許可ポリシーを選択することはできません。

   • 制限されたアクセス許可ポリシーのセットから選択します。

   • すべてのアクセス許可ポリシーから選択します。

   • アクセス許可ポリシーを選択せずに、ロールの作成後にポリシーを作成し、そのポリシーをロールにアタッチします。

7. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

   1. [アクセス許可の境界の設定] セクションを開き、[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する] を選択します。

      IAM には、アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーのリストがあります。

   2. アクセス許可の境界として使用するポリシーを選択します。

8. [Next] を選択します。

9. [ロール名] では、オプションはサービスによって異なります。

   • サービスでロール名が定義されている場合、ロール名を編集することはできません。

   • サービスでロール名のプレフィックスが定義されている場合、オプションのサフィックスを入力できます。

   • サービスでロール名が定義されていない場合、ロールに名前を付けることができます。

     重要

     ロールに名前を付けるときは、次のことに注意してください。

     • ロール名は AWS アカウント内で一意である必要があります。ただし、大文字と小文字は区別されません。

       例えば、PRODROLE と prodrole の両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。

     • 他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

10. (オプション) [説明] にロールの説明を入力します。

11. (オプション) ロールのユースケースとアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。

12. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。IAM でのタグの使用に関する詳細については、『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。

13. ロールを確認したら、[Create role] (ロールを作成) を選択します。

例 1: データベース管理者としてユーザーを設定する (コンソール)

この例では、IAM ユーザーである Alice をデータベース管理者として設定するために必要な手順を示しています。そのセクションのテーブルの最初の列情報を使用し、ユーザーが Amazon RDS モニタリングを有効にできるようにします。Alice の IAM ユーザーに DatabaseAdministrator ポリシーをアタッチして、IAM ユーザーが Amazon データベースサービスを管理できるようにします。このポリシーによって、Alice は rds-monitoring-role という名前のロールを Amazon RDS サービスに渡すことができ、サービスが Alice の代わりに Amazon RDS データベースをモニタリングすることができます。

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. [ポリシー] を選択し、検索ボックスに database と入力してから[Enter] を押します。

3. [DatabaseAdministrator] ポリシーのラジオボタンを選択し、[アクション]、[アタッチ] の順に選択します。

4. エンティティのリストから [Alice] を選択してから、[ポリシーをアタッチ] を選択します。これで Alice は、AWS データベースを管理できます。ただし、Alice がこれらのデータベースをモニタリングできるようにするには、サービスロールを設定する必要があります。

5. IAM コンソールのナビゲーションペインで、[ロール]、[ロールを作成] を選択します。

6. [AWS サービス] ロールタイプを選択してから、[Amazon RDS] を選択します。

7. [拡張モニタリングの Amazon RDS ロール] ユースケースを選択します。

8. Amazon RDS により、ロールのアクセス許可が定義されます。[Next: Review (次へ: 確認)] を選択して続行します。

9. ロール名は、Alice が現在持っている DatabaseAdministrator ポリシーによって指定されたものである必要があります。たとえば rds-monitoring-role です。[Role name] (ロール名) にそれを入力します。

10. (オプション) [Role description] (ロールの説明) に、新しいロールの説明を入力します。

11. 詳細を確認したら、[ロールの作成] を選択します。

12. これで Alice は、Amazon RDS コンソールの [Monitoring] (モニタリング) セクションで [RDS Enhanced Monitoring] (RDS 拡張モニタリング) を有効にできるようになりました。たとえば、DB インスタンスを作成する場合、リードレプリカを作成する場合、または、DB インスタンスを修正する場合に有効にします。Alice は、[Enable Enhanced Monitoring] (拡張モニタリングを有効にする) を [Yes] (はい) に設定するときに、作成したロール名 (rds-monitoring-role) を [Monitoring Role] (モニタリングロール) ボックスに入力する必要があります。

例 2: ネットワーク管理者としてユーザーを設定する (コンソール)

この例では、IAM ユーザーである Jorge をネットワーク管理者として設定するために必要な手順を示しています。このセクションの表の情報を使用して、Jorge が VPC との間で送受信される IP トラフィックをモニタリングできるようにします。また、Jorge がその情報を CloudWatch Logs のログに取り込むことができるようにします。NetworkAdministrator ポリシーを Jorge の IAM ユーザーにアタッチして、IAM ユーザーが AWS ネットワークリソースを設定できるようにします。このポリシーでは、フローログを作成する際に、Jorge が flow-logs* で始まる名前のロールを Amazon EC2 に渡すことも可能です。このシナリオでは、例 1 と違って事前定義されたサービスロールの種類がないため、いくつかのステップが異っています。

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで、[ポリシー] を選択し、検索ボックスに network と入力してから [Enter] を押します。

3. NetworkAdministrator ポリシーの横にあるチェックボックスをオンにし、[アクション]、[アタッチ] の順に選択します。

4. ユーザーのリストで、Jorge の横にあるチェックボックスを選択してから、[Attach policy] (ポリシーのアタッチ) を選択します。これで Jorge は、AWS ネットワークリソースを管理できます。ただし、VPC の IP トラフィックのモニタリングを有効にするには、サービスロールを設定する必要があります。

5. 作成する必要のあるサービスロールに事前定義された管理ポリシーがないため、先にそれを作成する必要があります。ナビゲーションペインで、[ポリシー]、[ポリシーの作成] の順に選択します。

6. [ポリシーエディタ] セクションで、[JSON] オプションを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。このテキストを [JSON] ボックスに貼り付けます。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }

7. ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決してから、[Next] (次へ) を選択します。

   注記

   いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。

8. [確認および作成] ページで、ポリシー名として「vpc-flow-logs-policy-for-service-role」と入力します。[このポリシーで定義されているアクセス許可] を確認し、ポリシーによって付与されたアクセス許可を確認し、[ポリシーを作成] を選択して作業を保存します。

   新しいポリシーが管理ポリシーの一覧に表示され､アタッチの準備ができます。

9. IAM コンソールのナビゲーションペインで、[ロール]、[ロールを作成] を選択します。

10. [AWS サービス] ロールタイプを選択し、続いて [Amazon EC2] を選択します。

11. [Amazon EC2] ユースケースを選択します

12. [アクセス許可ポリシーをアタッチする] ページで、先ほど作成したポリシー [vpc-flow-logs-policy-for-service-role] を選択してから、[Next: Review (次へ: 確認)] を選択します。

13. ロール名は Jorge が現在持っている、NetworkAdministrator ポリシーによって許可されている必要があります。flow-logs- で始まる名前であれば、使用可能です。この例では、[Role name] (ロール名) に flow-logs-for-jorge と入力します。

14. (オプション) [Role description] (ロールの説明) に、新しいロールの説明を入力します。

15. 詳細を確認したら、[ロールの作成] を選択します。

16. これで、このシナリオで必要な信頼ポリシーを設定することができます。[Roles] (ロール) ページで、flow-logs-for-jorge ロール (チェックボックスではなく名前) を選択します。新しいロールの詳細ページで、[信頼関係] タブを選択してから、[信頼関係の編集] を選択します。

17. 「Service」行の ec2.amazonaws.com のエントリを置き換えて以下のように変更します。

            "Service": "vpc-flow-logs.amazonaws.com"

18. Jorge はこれで、Amazon EC2 コンソールで VPC またはサブネットのフローログを作成できます。フローログを作成するときに、flow-logs-for-jorge ロールを指定します。このロールには、ログを作成し、そのログにデータを書き込む権限があります。