AWS Identity and Access Management の AWS Cloud Map - AWS Cloud Map
認証アクセスコントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Identity and Access Management の AWS Cloud Map

ドメインの登録やレコードの更新など、 AWS Cloud Map リソースに対してアクションを実行するには、 AWS Identity and Access Management (IAM) で承認された AWS ユーザーであることを認証する必要があります。 AWS Cloud Map コンソールを使用している場合は、 AWS ユーザー名とパスワードを指定して ID を認証します。 AWS Cloud Map プログラムで にアクセスする場合、アプリケーションはアクセスキーを使用するか、リクエストに署名して ID を認証します。

ID を認証すると、IAM AWS は、アクションを実行し、リソースにアクセスするためのアクセス許可があることを確認して、 へのアクセスを制御します。アカウント管理者である場合、IAM を使用して、アカウントに関連付けられたリソースへの他のユーザーのアクセスをコントロールできます。

この章では、IAM と を使用してリソース AWS Cloud Map を保護する方法について説明します。

トピック

認証

には、次のいずれか AWS の方法でアクセスできます。

  • AWS アカウントのルートユーザー – AWS アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティはAWS アカウントのルートユーザーアカウントと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでのサインインによりアクセスします。を作成するときは AWS アカウント、アカウント内のすべての およびリソースへの AWS のサービス 完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。この ID は AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることでアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、IAM ユーザーガイドルートユーザー認証情報が必要なタスクを参照してください。

  • IAM ユーザーIAM ユーザーは、特定のカスタムアクセス許可 ( で HTTP 名前空間を作成するアクセス許可など) を持つ AWS アカウント内のアイデンティティです AWS Cloud Map。IAM サインイン認証情報を使用して、、AWS re:PostAWS Management Console、または AWS Support Center などのウェブページを保護 AWS できます。

    また、サインイン認証情報に加えて、各ユーザーのアクセスキーを生成することができます。これらのキーは、複数の SDKs のいずれかまたは を使用して、プログラムで AWS サービスにアクセスするときに使用できますAWS Command Line Interface。SDK と CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。 AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。 は、インバウンド API リクエストを認証するためのプロトコルである署名バージョン 4 AWS Cloud Map をサポートしています。リクエストの認証の詳細については、「 AWS Identity and Access Management ユーザーガイド」の AWS 「 API リクエストの署名」を参照してください。

  • IAM ロール - IAM ロールは、アカウントで作成して特定の許可を付与できる IAM ID です。IAM ロールは、 AWS アイデンティティが でできることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。IAM ロールと一時的な認証情報は、次の状況で役立ちます:

    • フェデレーティッドユーザーアクセス – IAM ユーザーを作成する代わりに、 AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーの既存のユーザー ID を使用できます。これらはフェデレーティッドユーザー と呼ばれます。ID プロバイダー を介してアクセスがリクエストされると、 はフェデレーティッドユーザーにロールを AWS 割り当てます。フェデレーションユーザーの詳細については、「IAM ユーザーガイド」の「フェデレーションユーザーとロール」を参照してください。

    • AWS サービスアクセス – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするための AWS サービスアクセス許可を付与できます。例えば、Amazon Redshift がユーザーに代わって Simple Storage Service (Amazon S3) バケットにアクセスし、そのバケットのデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドの「 AWS のサービスにアクセス許可を委任するロールの作成」を参照してください。

    • Amazon EC2 で実行されているアプリケーション – IAM ロールを使用して、Amazon EC2 インスタンスで実行され、 AWS API リクエストを行っているアプリケーションの一時的な認証情報を管理できます。これは、Amazon EC2 インスタンス内でのアクセスキーの保存に推奨されます。 AWS ロールを Amazon EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、Amazon EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得することができます。詳細については、「IAM ユーザーガイド」の「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して権限を付与する」を参照してください。

アクセスコントロール

AWS Cloud Map リソースを作成、更新、削除、または一覧表示するには、アクションを実行するためのアクセス許可と、対応するリソースにアクセスするためのアクセス許可が必要です。また、プログラムでアクションを実行するには、有効なアクセスキーが必要です。

以下のセクションでは、 のアクセス許可を管理する方法について説明します AWS Cloud Map。最初に概要のセクションを読むことをお勧めします。