AWS Migration Hub に対する認証とアクセスコントロール
AWS Migration Hub へのアクセスには、AWS によってリクエストの認証に使用される認証情報が必要です。これらの認証情報には、AWS Migration Hub ProgressUpdateStream や Amazon EC2 インスタンスなどの AWS リソースへのアクセス許可が必要です。以下のセクションでは、AWS Identity and Access Management (IAM) と Migration Hub を使用して、リソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護する方法について詳しく説明します。
認証
AWS には、次のタイプのアイデンティティでアクセスできます。
-
AWS account root user – AWS accountを作成する場合は、このアカウントのすべての AWS servicesとリソースに完全にアクセスできる 1 つのサインインアイデンティティで始めます。このアイデンティティは AWS accountのroot userと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでのサインインによりアクセスします。root userは、日常的なタスクには使用しないことを強くお勧めします。root user認証情報を保護し、root userにしか実行できないタスクを実行する場合にのみ使用してください。root userとしてログインする必要があるタスクの詳細なリストについては、AWS Account Management リファレンスガイドの「root user認証情報が必要なタスク」を参照してください。
-
IAM ユーザー – IAM ユーザーは、特定のカスタム許可 (例えば、AWS Migration Hub で a function を作成する許可) を持つ AWS アカウント内のアイデンティティです。IAM のユーザー名とパスワードを使用して、AWS Management Console
、AWS ディスカッションフォーラム 、AWS Support Center などのセキュリティ保護された AWS ウェブページにサインインできます。 ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを生成することもできます。いくつかの SDK の 1 つ
または AWS Command Line Interface (CLI) を使ってプログラムで AWS サービスにアクセスするときに、これらのキーを使用できます。SDK と CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。AWS Migration Hub supports では、署名バージョン 4 がサポートされています。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、AWS General Referenceの「署名バージョン 4 の署名プロセス」を参照してください。 -
IAM ロール – IAM ロールは、特定のアクセス権限を持ち、アカウントで作成できる IAM アイデンティティです。IAM ロールは、AWS で許可/禁止する操作を決めるアクセス権限ポリシーが関連付けられている AWS アイデンティティであるという点で、IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。 IAM ロールと一時的な認証情報は、次の状況で役立ちます。
-
フェデレーティッドユーザーアクセス – ID フェデレーションにアクセス許可を割り当てるには、ロールを作成し、そのロールのアクセス許可を定義します。ID フェデレーションが認証されると、そのアイデンティティはロールに関連付けられ、ロールによって定義されたアクセス許可が付与されます。フェデレーション用のロールについては、IAM ユーザーガイドの「サードパーティー ID プロバイダー用のロールの作成」を参照してください。IAM Identity Center を使用する場合は、アクセス許可セットを設定します。認証後にアイデンティティがアクセスできるものを制御するために、IAM Identity Center はアクセス許可セットを IAM のロールと関連付けます。アクセス許可セットの詳細については、AWS IAM Identity Center ユーザーガイドの「アクセス許可セット」を参照してください。
-
AWS のサービスのアクセス – サービスロールは、サービスがお客様に代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイドの「AWS serviceのユーザーにアクセス許可を委任するロールの作成」を参照してください。
-
Amazon EC2 で実行中のアプリケーション – IAM ロールを使用して、EC2 インスタンスで実行され、AWS CLI または AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、IAM ユーザーガイド の「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス許可を付与する」を参照してください。
-
アクセスコントロール
有効な認証情報があればリクエストを認証できますが、アクセス許可がなければ AWS Migration Hub リソースの作成やアクセスはできません。たとえば、Migration Hub API タイプ、ProgressUpdateStream を作成し、AWS Application Discovery Service を使用して、AWS 移行ツールを使用するにはアクセス許可が必要です。
以下のセクションでは、AWS Migration Hub のアクセス許可を管理する方法について説明します。
