プログラマチックアクセス権を付与する

このガイドの AWS CLI および コード例は、ローカルコンピュータまたは Amazon Elastic Compute Cloud インスタンスなどの他の AWS 環境で実行できます。例を実行するには、例が使用する AWS SDK オペレーションへのアクセスを許可する必要があります。

ローカルコンピュータでのコードの実行

ローカルコンピュータでコードを実行するには、短期間の認証情報を使用して AWS SDK オペレーションへのアクセス権をユーザーに付与することをお勧めします。ローカルコンピュータで AWS CLI および コード例を実行する方法の詳細については、「」を参照してくださいローカルコンピュータでのプロファイルの使用。

ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS Management Console。プログラムによるアクセスを許可する方法は、 にアクセスするユーザーのタイプによって異なります AWS。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラマチックアクセス権を必要とするユーザー	目的	方法
ワークフォースアイデンティティ (IAM Identity Center で管理されているユーザー)	一時的な認証情報を使用して、、 AWS SDKs AWS CLI、または AWS APIs。	使用するインターフェイス用の手引きに従ってください。 については AWS CLI、「 ユーザーガイド」の「 を使用する AWS CLI ための の設定 AWS IAM Identity CenterAWS Command Line Interface 」を参照してください。 AWS SDKs 、ツール、 AWS APIs「 SDK とツールのリファレンスガイド」の「IAM Identity Center 認証」を参照してください。 AWS SDKs
IAM	一時的な認証情報を使用して、、 AWS SDKs AWS CLI、または AWS APIs。	「IAM ユーザーガイド」の「 AWS リソースでの一時的な認証情報の使用」の手順に従います。
IAM	(非推奨) 長期認証情報を使用して、、 AWS SDKs AWS CLI、または AWS APIs。	使用するインターフェイス用の手引きに従ってください。 については AWS CLI、「 AWS Command Line Interface ユーザーガイド」の「IAM ユーザー認証情報を使用した認証」を参照してください。 AWS SDKs「 SDK とツールのリファレンスガイド」の「長期的な認証情報を使用した認証」を参照してください。 AWS SDKs AWS APIsユーザーガイド」の「IAM ユーザーのアクセスキーの管理」を参照してください。

ローカルコンピュータでのプロファイルの使用

このガイドの AWS CLI および コード例は、 で作成した短期認証情報を使用して実行できますローカルコンピュータでのコードの実行。認証情報や他の設定情報を取得するため、たとえばサンプルでは lookoutvision-access という名前のプロファイルを使用しています:

session = boto3.Session(profile_name='lookoutvision-access')
lookoutvision_client = session.client("lookoutvision")

プロファイルが表すユーザーには、Lookout for Vision SDK オペレーションおよび例で必要なその他の AWS SDK オペレーションを呼び出すアクセス許可が必要です。詳細については、「SDK 権限をセットアップする」を参照してください。権限を割り当てるには、「権限の割り当て」を参照してください。

AWS CLI および コード例で動作するプロファイルを作成するには、次のいずれかを選択します。作成するプロファイルの名前が lookoutvision-access であることを確かめてください。

• IAM が管理するユーザー - 「IAM ロール (AWS CLI) の切り替え」の手順に従います。

• ワークフォース ID ( によって管理されるユーザー AWS IAM Identity Center) — を使用するように AWS CLI を設定するの手順 AWS IAM Identity Centerに従います。コード例については統合開発環境 (IDE) を使用することが推奨されます。こちらは、IAM Identity Center による認証を許可する AWS Toolkit をサポートしています。Java の例については「Start building with Java」を参照してください。Python の例については「Start building with Python」を参照してください。その他の詳細については「IAM Identity Center credentials」を参照してください。

注記

コードを使用して、短期間の認証情報を取得できます。詳細については「IAM ロール (AWS API) の切り替え」を参照してください。IAM Identity Center の場合は、「Getting IAM role credentials for CLI access」にある手順に従って、ロールの短期間の認証情報を取得します。

AWS 環境でのコードの実行

AWS Lambda 関数で実行されている本番コードなどの AWS 環境で、ユーザー認証情報を使用して AWS SDK 呼び出しに署名しないでください。代わりに、コードに必要なアクセス権限を定義するロールを設定します。次に、コードを実行する環境にそのロールをアタッチします。ロールをアタッチして一時的な認証情報を利用できるようにする方法は、コードを実行する環境によって異なります。

• AWS Lambda 関数 — Lambda 関数の実行ロールを引き受けるときに Lambda が自動的に関数に提供する一時的な認証情報を使用します。認証情報は Lambda の環境変数で使用できます。プロファイルを指定する必要はありません。詳細については、「Lambda 実行ロール」を参照してください。

• Amazon EC2 - Amazon EC2 のインスタンスメタデータエンドポイント認証情報プロバイダーを使用します。このプロバイダーは、Amazon EC2 インスタンスにアタッチされた Amazon EC2 インスタンスプロファイルを使用して、認証情報を自動的に生成して更新します。詳細については、「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス許可を付与する」を参照してください。

• Amazon Elastic Container Service - コンテナ認証情報プロバイダーを使用します。Amazon ECS は認証情報をメタデータエンドポイントに送信して更新します。指定するタスク IAM ロールは、アプリケーションが使用する認証情報を管理するための戦略を提供します。詳細については、「AWS サービスとやり取りする」を参照してください。

• Greengrass コアデバイス — TLS 相互認証プロトコルを使って AWS IoT Core に接続するには、X.509 証明書を使用します。これらの証明書により、デバイスは AWS 認証情報なしで AWS IoT とやり取りできます。AWS IoT 認証情報プロバイダは、X.509 証明書を使用してデバイスを認証し、特権が制限された一時的セキュリティトークンの形で AWS 認証情報を発行します。詳細については、「AWS サービスとやりとりする」を参照してください。

認証情報プロバイダーの詳細については、「標準認証情報プロバイダー」を参照してください。