EC2 インスタンスで実行するアプリケーションに対するアクセス許可の指定 - AWS OpsWorks

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EC2 インスタンスで実行するアプリケーションに対するアクセス許可の指定

重要

この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 AWS re:Post または AWS Premium Support を通じて AWS Support チームにお問い合わせください。

スタックの Amazon EC2 インスタンスで実行するアプリケーションが、Amazon S3 バケットなどの他の AWS リソースにアクセスするには、適切なアクセス許可が必要です。アクセス許可を付与するには、インスタンスプロファイルを使用します。AWS OpsWorks スタックスタック を作成するときに、インスタンスごとにインスタンスプロファイルを指定できます。

[Add Stack] ページの高度なオプション。

レイヤー設定を編集して、レイヤーのインスタンスのプロファイルを指定することも可能です。

インスタンスプロファイルにより、IAM ロールが指定されます。インスタンスで実行するアプリケーションは、ロールのポリシーによって付与されたアクセス許可に応じて、AWS リソースにアクセスするためにそのロールを引き受けることができます。アプリケーションがロールを引き受ける方法の詳細については、「API コールを使用してロールを引き受ける」を参照してください。

次のいずれかの方法でインスタンスプロファイルを作成することができます。

  • IAM コンソールまたは API を使用して、プロファイルを作成します。

    詳細については、「ロール (委任とフェデレーション)」を参照してください。

  • AWS CloudFormation テンプレートを使用してプロファイルを作成します。

    IAM リソースをテンプレートに含める方法のいくつかの例については、「Identity and Access Management (IAM) Template Snippets」(Identity and Access Management (IAM) テンプレートスニペット) を参照してください。

インスタンスプロファイルには信頼関係と AWS のリソースへのアクセス許可を付与するアタッチされたポリシーがあります。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

インスタンスプロファイルには、 AWS OpsWorks スタックがユーザーに代わって動作するために、この信頼関係が必要です。デフォルトのサービスロールを使用する場合は、信頼関係を変更しないでください。カスタムサービスロールを作成する場合は、次のように信頼関係を指定します。

  • [IAM console] (IAMコンソール) の「Create Role」(ロールロールの作成) ウィザードを使用している場合、ウィザードの2ページ目の [AWS Service Roles] (AWS サービスロール)で [Amazon EC2] (Amazon EC2) のロールタイプを指定します。

  • AWS CloudFormation テンプレートを使用している場合は、テンプレートのリソースセクションに次のような内容を追加できます。

    "Resources": { "OpsWorksEC2Role": { "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": { "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ec2.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }, "Path": "/" } }, "RootInstanceProfile": { "Type": "AWS::IAM::InstanceProfile", "Properties": { "Path": "/", "Roles": [ { "Ref": "OpsWorksEC2Role" } ] } } }

インスタンスプロファイルを作成すると、その時点でプロファイルのロールに適切なポリシーをアタッチできます。スタックを作成した後、IAM console (IAM コンソール) または API を使用して、適切なポリシーをプロファイルのロールにアタッチする必要があります。例えば、次のポリシーでは、[DOC-EXAMPLE-BUCKET (DOC-EXAMPLE-BUCKET)] という名前の Amazon S3 バケットのすべてのオブジェクトへのフルアクセスを許可します。region と DOC-EXAMPLE-BUCKET を、設定に適した値に置き換えます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:region::DOC-EXAMPLE-BUCKET/*" } ] }

インスタンスプロファイルの作成および使用方法の例については、「Amazon S3 バケットの使用」を参照してください。

アプリケーションがインスタンスプロファイルを使用して EC2 インスタンスから AWS OpsWorks スタック API を呼び出す場合、ポリシーは、 AWS OpsWorks スタックやその他の AWS サービスに対する適切なiam:PassRoleアクションに加えて、 アクションを許可する必要があります。iam:PassRole アクセス許可により、 AWS OpsWorks スタックがユーザーに代わってサービスロールを引き受けることができるようになります。 AWS OpsWorks スタック API の詳細については、「AWS OpsWorks API リファレンス」を参照してください。

以下は、EC2 インスタンスから AWS OpsWorks スタックアクションを呼び出すこと、および Amazon EC2 または Amazon S3 アクションを呼び出すことを許可する IAM ポリシーの例です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "s3:*", "opsworks:*", "iam:PassRole" ], "Resource": "arn:aws:ec2:region:account_id:instance/*", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] }
注記

を許可しない場合iam:PassRole、 AWS OpsWorks スタックアクションを呼び出す試行は失敗し、次のようなエラーが発生します。

User: arn:aws:sts::123456789012:federated-user/Bob is not authorized to perform: iam:PassRole on resource: arn:aws:sts::123456789012:role/OpsWorksStackIamRole

アクセス許可に EC2 インスタンスのロールを使用する詳細については、https://docs.aws.amazon.com/IAM/latest/UserGuide/role-usecase-ec2app.htmlユーザーガイドのAWS Identity and Access Management Amazon EC2 インスタンスで実行されるアプリケーションに、AWS リソースへのアクセスを付与するを参照してください。