AWS セキュリティ認証情報
AWS の操作時に、自身が誰であるか、そしてリクエストしているリソースに対してアクセス許可を持つかどうかを確認するための AWS セキュリティ認証情報を指定します。AWS は、このセキュリティ認証情報を使用してリクエストを認証、承認します。
たとえば、Amazon Simple Storage Service (Amazon S3) バケットから保護されたファイルをダウンロードする場合、認証情報はそのアクセスを許可する必要があります。認証情報にファイルをダウンロードする権限がないことが示される場合、AWS はリクエストを拒否します。ただし、公開されている Amazon S3 バケット内のファイルのダウンロードに AWS セキュリティ認証情報は必要ありません。
AWS にはさまざまなタイプのユーザーがあり、それぞれに独自のセキュリティ認証情報があります。
-
アカウント所有者 (ルートユーザー) — AWS アカウント を作成し、フルアクセス権限を持つユーザー。
-
AWS IAM Identity Center ユーザー — AWS IAM Identity Center で管理されるユーザー。
-
フェデレーションユーザー - フェデレーションを通じて AWS への一時的なアクセスが許可されている外部 ID プロバイダーのユーザー。フェデレーション ID の詳細については、「ID プロバイダーとフェデレーション」を参照してください。
-
IAM ユーザー — AWS Identity and Access Management (IAM) サービス内で作成された個々のユーザー。
ユーザーは長期または一時的なセキュリティ認証情報を持っています。ルートユーザー、IAM ユーザー、アクセスキーには、有効期限のない長期セキュリティ認証情報があります。認証情報を長期間保護するために、アクセスキーの管理、パスワードの変更、MFA の有効化を行うためのプロセスを準備する必要があります。詳細については、「AWS Identity and Access Management のセキュリティのベストプラクティスとユースケース」を参照してください。
(IAM) ロール、AWS IAM アイデンティティセンターのユーザー またはフェデレーションユーザーは一時的なセキュリティ認証情報をもっています。一時的なセキュリティ認証情報は、定義された期間が経過するか、ユーザーがセッションを終了したときに期限切れになります。一時的認証情報の機能は、長期的な証情報とほとんど同じですが、次の相違点があります。
-
一時的セキュリティ認証情報は、その名前が示すとおり、使用期限が短くなっています。有効期限は数分から数時間に設定できます。認証情報が失効すると、AWS はそれらを認識しなくなります。また、その認証情報によって作成された API リクエストによるあらゆるタイプのアクセスが許可されなくなります。
-
一時的セキュリティ認証情報はユーザーとともに保存されることはなく、ユーザーのリクエストに応じて動的に生成され、提供されます。一時的セキュリティ認証情報が失効すると(または失効する前でも)、ユーザーは新しい認証情報をリクエストできます。ただし、リクエストするユーザーがまだその権限を持っている場合に限ります。
そのため、一時的な認証情報には、長期の認証情報よりも次の利点があります。
-
アプリケーションの長期の AWS セキュリティ認証情報を配布したり埋め込んだりする必要がありません。
-
ユーザーに対して AWS ID を定義せずに AWS リソースへのアクセスを許可できます。一時的認証情報はロールおよび ID フェデレーションの基本となります。
-
一時的セキュリティ認証情報の有効期限は限られているので、認証情報が不要になった際に更新したり、明示的に取り消したりする必要がありません。一時的セキュリティ認証情報の有効期限が切れると、再利用することはできません。認証情報が有効な期間を、最大限度まで指定できます。
セキュリティに関する考慮事項
後でアクセスする場合は、以下AWS アカウント を考慮することをお勧めします。
-
AWS アカウント を作成すると、1 つのルートユーザーが作成されます。ルートユーザー (アカウント所有者) の認証情報によって、アカウント内のすべてのリソースへのフルアクセスが許可されます。ルートユーザーが最初に実行するタスクは、ルートユーザーの使用を最小限にするために、別のユーザーに AWS アカウント の管理権限を付与することです。
-
多要素認証 (MFA) は、AWS アカウント にアクセスできるユーザーのセキュリティをさらに強化するサービスです。セキュリティを高めるため、AWS アカウントのルートユーザー 認証情報と、すべての IAM ユーザーに対して MFA を必須にすることが推奨されます。詳細については、「IAM の AWS 多要素認証」を参照してください。
-
AWS には、AWS へのアクセス方法とAWSユーザータイプに応じて異なる種類のセキュリティ認証情報が必要です。例えば、AWS Management Console にはサインインの認証情報を使用し、プログラムで AWS を呼び出すにはアクセスキーを使用します。ユーザータイプとサインインページの決定については、「AWS サインイン ユーザーガイド」の「AWS サインインとは」を参照してください。
-
IAM ポリシーを使用して、リソースへのルートユーザーアクセスを明示的に拒否することはできません。AWS Organizations サービスコントロールポリシー (SCP) を使用できるのは、ルートユーザーの許可を制限する場合のみです。
-
ルートユーザーのパスワードを忘れたり、紛失したりした場合、このパスワードをリセットするには、アカウントに関連付けられている E メールアドレスにアクセスする必要があります。
-
ルートユーザーアクセスキーを紛失した場合は、アカウントにルートユーザーとしてサインインして、新しいアクセスキーを作成する必要があります。
-
ルートユーザーを日常的なタスクに使用しないでください。ルートユーザーのみが実行できるタスクを実行します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「ルートユーザー認証情報が必要なタスク」を参照してください。
-
認証情報は、アカウントに固有です。複数の AWS アカウント にアクセスできる場合は、アカウントごとに別々の認証情報があります。
-
ポリシーは、ユーザー、ロール、またはユーザーグループのメンバーが実行できるアクション、 AWS リソース、および条件を決定します。ポリシーで、AWS アカウント 内の AWS のサービス やリソースへのアクセスを安全に制御できます。後でアクセス許可の変更または取り消しが必要になったら、ID に直接変更する場合は、ポリシーを削除または変更できます。
-
Emergency Access IAM ユーザーのサインイン認証情報と、プログラムによるアクセス用に作成したアクセスキーは、必ず安全な場所に保存してください。アクセスキーを紛失した場合は、アカウントにサインインして新しいアクセスキーを作成する必要があります。
-
IAM ユーザーとアクセスキーによって提供される長期認証情報の代わりに、IAM ロールとフェデレーションユーザーによって提供される一時的な認証情報を使用することを強くお勧めします。