翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Application Auto Scaling と の連携方法 IAM
注記
2017 年 12 月、Application Auto Scaling の更新が行われ、Application Auto Scaling 統合サービスのために複数のサービスリンクロールが有効化されました。ユーザーがスケーリングを設定できるようにするには、特定のIAMアクセス許可と Application Auto Scaling サービスにリンクされたロール (または Amazon EMR Auto Scaling のサービスロール) が必要です。
IAM を使用して Application Auto Scaling へのアクセスを管理する前に、Application Auto Scaling で使用できるIAM機能を確認してください。
IAM Application Auto Scaling で使用できる の機能 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
IAM 機能 | アプリケーションの自動スケーリングのサポート | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
あり |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
あり |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
あり |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
なし |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
なし |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
部分的 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
あり |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
あり |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
あり |
Application Auto Scaling およびその他の がほとんどの IAM 機能と AWS のサービス 連携する方法の概要を把握するには、 IAMユーザーガイドのAWS のサービス 「 と連携する IAM 」を参照してください。
Application Auto Scaling のアイデンティティベースポリシー
アイデンティティベースのポリシーのサポート: あり
ID ベースのポリシーは、IAMユーザー、ユーザーのグループ、ロールなどの ID にアタッチできるJSONアクセス許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースのポリシーを作成する方法については、「 ユーザーガイド」のIAM「ポリシーの作成IAM」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。プリンシパルは、それが添付されているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用できるすべての要素については、「 ユーザーガイド」の「 IAMJSONポリシー要素のリファレンスIAM」を参照してください。
Application Auto Scaling のアイデンティティベースポリシー例
Application Auto Scaling のアイデンティティベースポリシーの例については、「Application Auto Scaling のアイデンティティベースポリシー例」を参照してください。
アクション
ポリシーアクションのサポート: あり
IAM ポリシーステートメントでは、 をサポートする任意のサービスから任意のAPIアクションを指定できますIAM。Application Auto Scaling では、APIアクションの名前にプレフィックス を使用しますapplication-autoscaling:
。例えば、application-autoscaling:RegisterScalableTarget
、application-autoscaling:PutScalingPolicy
、および application-autoscaling:DeregisterScalableTarget
のようになります。
1 つのステートメントで複数のアクションを指定するには、次の例のようにカンマで区切ります。
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
ワイルドカード (*) を使用して複数のアクションを指定することができます。例えば、Describe
という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
"Action": "application-autoscaling:Describe*"
Application Auto Scaling アクションのリストについては、「サービス認証リファレンス」のAWS 「Application Auto Scaling で定義されるアクション」を参照してください。
リソース
ポリシーリソースのサポート: あり
IAM ポリシーステートメントでは、 Resource
要素はステートメントがカバーするオブジェクトを指定します。Application Auto Scaling の場合、各IAMポリシーステートメントは、Amazon リソースネーム () を使用して指定したスケーラブルターゲットに適用されますARNs。
スケーラブルターゲットのARNリソース形式:
arn:aws:application-autoscaling:region
:account-id
:scalable-target/unique-identifier
例えば、ARN次のように ステートメントで特定のスケーラブルターゲットを指定することができます。ユニーク ID (1234abcd56ab78cd901ef1234567890ab123) は、Application Auto Scaling によってスケーラブルターゲットに割り当てられる値です。
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"
次のように、一意の識別子をワイルドカード (*) に置き換えることで、特定のアカウントに属するすべてのインスタンスを指定できます。
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"
すべてのリソースを指定する場合、または特定のAPIアクションが をサポートしていない場合はARNs、次のように Resource
要素としてワイルドカード (*) を使用します。
"Resource": "*"
詳細については、「サービス認証リファレンス」のAWS 「Application Auto Scaling で定義されるリソースタイプ」を参照してください。
条件キー
サービス固有のポリシー条件キーのサポート: あり
Application Auto Scaling リソースへのアクセスを制御するIAMポリシーで条件を指定できます。ポリシーステートメントは、条件が true の場合にのみ有効です。
Application Auto Scaling は、アイデンティティベースのポリシーで使用できる以下のサービス定義条件キーをサポートし、誰が Application Auto Scaling APIアクションを実行できるかを判断できます。
-
application-autoscaling:scalable-dimension
-
application-autoscaling:service-namespace
条件キーを使用できる Application Auto Scaling APIアクションについては、「サービス認証リファレンス」のAWS 「Application Auto Scaling で定義されるアクション」を参照してください。Application Auto Scaling の条件キーの使用の詳細については、AWS 「Application Auto Scaling の条件キー」を参照してください。
すべての のサービスで使用できるグローバル条件キーを表示するには、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。
リソースベースのポリシー
リソースベースのポリシーのサポート: なし
Amazon Simple Storage Service AWS などの他のサービスは、リソースベースのアクセス許可ポリシーをサポートしています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。
Application Auto Scaling は、リソースベースポリシーをサポートしません。
アクセスコントロールリスト (ACLs)
をサポートACLs: いいえ
Application Auto Scaling はアクセスコントロールリスト () をサポートしていませんACLs。
ABAC Application Auto Scaling を使用する
サポート ABAC (ポリシー内のタグ): 部分的
属性ベースのアクセスコントロール (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。では AWS、これらの属性はタグ と呼ばれます。タグは、IAMエンティティ (ユーザーまたはロール) および多くの AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、 の最初のステップですABAC。次に、プリンシパルのタグがアクセスしようとしているリソースのタグと一致する場合に、オペレーションを許可するABACポリシーを設計します。
ABAC は、急速に成長している環境や、ポリシー管理が煩雑になる状況に役立ちます。
タグに基づいてアクセスを管理するには、aws:ResourceTag/
、key-name
aws:RequestTag/
、または key-name
aws:TagKeys
の条件キーを使用して、ポリシーの 条件要素でタグ情報を提供します。
ABAC は、タグをサポートするリソースで可能ですが、すべてがタグをサポートしているわけではありません。スケジュールされたアクションとスケーリングポリシーはタグをサポートしていませんが、スケーラブルターゲットはタグをサポートしています。詳細については、「Application Auto Scaling のタグ付けサポート」を参照してください。
の詳細についてはABAC、「 IAMユーザーガイド」の「 とはABAC」を参照してください。のセットアップ手順を含むチュートリアルを表示するにはABAC、「 ユーザーガイド」の「属性ベースのアクセスコントロール (ABAC) を使用するIAM」を参照してください。
Application Auto Scaling での一時的な認証情報の使用
一時的な認証情報のサポート: あり
一部の は、一時的な認証情報を使用してサインインすると機能 AWS のサービス しません。一時的な認証情報 AWS のサービス を使用する などの詳細については、 ユーザーガイドのAWS のサービス 「 と連携する IAM IAM 」を参照してください。
ユーザー名とパスワード以外の AWS Management Console 方法で にサインインする場合、一時的な認証情報を使用します。例えば、会社のシングルサインオン (SSO) リンク AWS を使用して にアクセスすると、そのプロセスによって一時的な認証情報が自動的に作成されます。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えの詳細については、「 IAMユーザーガイド」の「ロールへの切り替え (コンソール)」を参照してください。
一時的な認証情報は、 AWS CLI または を使用して手動で作成できます AWS API。その後、これらの一時的な認証情報を使用して にアクセスします AWS。 AWS 長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「」の「一時的なセキュリティ認証情報IAM」を参照してください。
サービスロール
サービスロールのサポート: あり
Amazon EMRクラスターが自動スケーリングを使用している場合、この機能により、Application Auto Scaling はユーザーに代わってサービスロールを引き受けることができます。サービスリンクロールと同様に、サービスロールは、サービスがユーザーに代わって他のサービスのリソースにアクセスし、アクションを完了することを許可します。サービスロールはIAMアカウントに表示され、アカウントによって所有されます。つまり、IAM管理者はこのロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Application Auto Scaling は、Amazon のサービスロールのみをサポートしますEMR。EMR サービスロールのドキュメントについては、「Amazon EMR 管理ガイド」の「インスタンスグループのカスタムポリシーで自動スケーリングを使用する」を参照してください。
注記
サービスにリンクされたロールの導入により、Amazon ECSやスポットフリートなど、いくつかのレガシーサービスロールが不要になりました。
サービスリンクロール
サービスリンクロールのサポート: あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
Application Auto Scaling 用のサービスリンクロールの詳細については、「Application Auto Scaling 用のサービスリンクロール」を参照してください。