Amazon EFS の Identity and Access Management - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EFS の Identity and Access Management

Amazon EFS へのアクセスには、AWS によってリクエストの認証に使用される認証情報が必要です。これらの認証情報には、Amazon EFS ファイルシステムや Amazon EC2 インスタンスなどの AWS リソースに対するアクセス権限が含まれている必要があります。以下のセクションでは、使用する方法について詳しく説明します。AWS Identity and Access Management (IAM)と Amazon EFS を使用すると、リソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護できます。

Authentication

AWS にアクセスできるアイデンティティのタイプは以下のとおりです。

  • AWS アカウントのルートユーザー— AWS にサインアップするときは、AWS アカウントに関連付けられた E メールアドレスとパスワードを指定します。これは AWS アカウントのルートユーザーです。この認証情報はすべての AWS リソースに対する完全なアクセスを提供します。

    重要

    セキュリティ上の理由から、AWS アカウントへの完全なアクセス権限を持つ管理者 (IAM ユーザー) を作成するためにのみ、ルートユーザーを使用することをお勧めします。その後、この管理者ユーザーを使用して、制限されたアクセス権限を持つ他の IAM ユーザーとロールを作成できます。詳細については、『IAM ユーザーガイド』で「IAM ベストプラクティス」および「管理者のユーザーおよびグループの作成」を参照してください。

  • IAM ユーザーIAM ユーザーは、特定のカスタム権限 (たとえば、Amazon EFS でファイルシステムを作成するアクセス権限) を持つ AWS アカウント内のアイデンティティです。IAM のユーザー名とパスワードを使用して、セキュリティ保護された AWS ウェブページにサインインできます。AWS マネジメントコンソールAWS ディスカッションフォーラム、またはAWS サポートセンター

     

    ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを生成することもできます。複数の SDK の 1 つを通してまたは AWS コマンドラインインターフェイス (CLI) を使用して、プログラムで AWS のサービスにアクセスするときに、これらのキーを使用します。SDK と CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストを自分で署名する必要があります。Amazon EFS のサポート署名バージョン 4は、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、「」を参照してください。署名バージョン 4 の署名プロセス()AWS 全般のリファレンス

     

  • IAM ロールIAM ロールは、特定のアクセス権限を持ち、アカウントで作成できる別の IAM アイデンティティです。これは IAM ユーザーに似ていますが、特定のユーザーに関連付けられていません。IAM ロールでは、AWS サービスおよびリソースにアクセスするために使用できる一時的なアクセスキーを取得することができます。IAM ロールと一時的な認証情報は、次の状況で役立ちます。

     

    • フェデレーティッドユーザーアクセス— IAM ユーザーを作成する代わりに、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーの既存のユーザーアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、『IAM ユーザーガイド』の「フェデレーティッドユーザーとロール」を参照してください。

       

    • クロスアカウント管理— アカウントで IAM ロールを使用して、アカウントの Amazon EFS リソースを管理するためのアクセス許可を別の AWS アカウントに付与できます。例については、「」を参照してください。チュートリアル: IAM ロールを使用した AWS アカウント間のアクセスの委任()IAM ユーザーガイド。VPC またはアカウント全体から Amazon EFS ファイルシステムをマウントすることはできません。詳細については、「ファイルシステムのネットワークアクセシビリティの管理」を参照してください。

       

    • AWS サービスへのアクセス— アカウントで IAM ロールを使用して、アカウントのリソースにアクセスするアクセス許可を AWS のサービスに付与できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、そのバケットのデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、「IAM ユーザーガイド」の「AWS サービスにアクセス権限を委任するロールの作成」を参照してください。

       

    • Amazon EC2 で実行中のアプリケーション— EC2 インスタンスで実行され、AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理するには、IAM ロールを使用します。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、「IAM ユーザーガイド」の「Amazon EC2 上のアプリケーションに対するロールの使用」を参照してください。

アクセスコントロール

有効な認証情報があればリクエストを認証できますが、アクセス許可が付与されている場合を除き、Amazon Elastic File System リソースの作成やアクセスはできません。たとえば、Amazon EFS ファイルシステムを作成するためのアクセス権限が必要です。

以下のセクションでは、Amazon EFS のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。