Amazon S3 Glacier での Identity and Access Management - Amazon S3 Glacier

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 Glacier での Identity and Access Management

Amazon S3 Glacier (S3 Glacier) へのアクセスには、AWS によってリクエストの認証に使用される認証情報が必要です。これらの認証情報には、S3 Glacier ボールトまたは Amazon S3 バケットなどのAWS リソースへのアクセス権限が必要です。次のセクションでは、AWS Identity and Access Management (IAM) と S3 Glacier を使用してリソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護する方法について詳しく説明します。

認証

AWS には、次のいずれかのタイプのアイデンティティでアクセスできます。

  • AWS アカウント ルートユーザー — AWS アカウント を初めて作成する際は、アカウント内のすべての AWS のサービス とリソースに対する完全なアクセス権を持つシングルサインインアイデンティティを使用して作成を開始します。このアイデンティティは AWS アカウント ルートユーザー と呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。強くお勧めするのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、初期の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。

  • IAM ユーザー - IAM ユーザーは、特定のカスタムのアクセス許可 (S3 Glacier でボールトを作成する許可など) を持つ AWS アカウント 内のアイデンティティです。IAM のユーザー名とパスワードは、AWS Management ConsoleAWS ディスカッションフォーラム、または AWS Support センターなどのセキュアな AWS ウェブページへのサインインに使用できます。

    ユーザー名とパスワードに加えて、各ユーザーの アクセスキー を生成することもできます。これらのキーは、SDK の 1 つまたは AWS Command Line Interface (CLI) を使用してプログラムで AWS のサービスにアクセスするときに使用できます。SDK と CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。S3 Glacier では、署名バージョン 4 がサポートされています。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、 AWS 一般参照署名バージョン 4 署名プロセス を参照してください。

  • IAM ロール - IAM ロールは、アカウントで作成して特定のアクセス権限を付与できる IAM アイデンティティです。IAM ロールは、アイデンティティが AWS で実行できることとできないことを決定するアクセス許可ポリシーを持つ AWS アイデンティティであるという点で IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報(パスワードやアクセスキーなど)も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。IAM ロールと一時的な認証情報は、次の状況で役立ちます。

    • フェデレーティッドユーザーアクセス – IAM ユーザーを作成する代わりに、 AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブアイデンティティプロバイダーからの既存のアイデンティティを使用できます。このようなユーザーは フェデレーティッドユーザー と呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、『IAM ユーザーガイド』の「フェデレーティッドユーザーとロール」を参照してください。

    • AWS のサービス のアクセス — サービスロールは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロール です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS のサービス にアクセス許可を委任するロールの作成」を参照してください。

    • Amazon EC2 で実行されているアプリケーション - EC2 インスタンスで実行され、 AWS CLI または AWS API 要求を行っているアプリケーションのテンポラリ認証情報を管理するには、IAM ロールを使用できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムはテンポラリ認証情報を取得することができます。詳細については、 IAM ユーザーガイドIAM ロールを使用して、Amazon EC2 インスタンスで実行されるアプリケーションにアクセス許可を付与する を参照してください。

アクセスコントロール

有効な認証情報があればリクエストを認証できますが、アクセス許可が付与されている場合を除き、S3 Glacier リソースの作成やアクセスはできません。たとえば、S3 Glacier ボールトを作成するアクセス許可が必要となります。

以下のセクションでは、権限を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。