EC2 インスタンスを AMS アカウントの S3 バケットへの書き込みアクセスを許可 - AWS 規範ガイダンス
[概要]前提条件と制限アーキテクチャツールエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EC2 インスタンスを AMS アカウントの S3 バケットへの書き込みアクセスを許可

作成者: Mansi Suratwala (AWS)

環境:本稼働

テクノロジー: ストレージとバックアップ、データベース、オペレーション、セキュリティ、アイデンティティ、コンプライアンス

AWS サービス: Amazon S3、AWS Managed Services

[概要]

AWS Managed Services (AMS) は、 AWS インフラストラクチャをより効率的かつ安全に運用するのに役立ちます。AMS アカウントには、 AWS リソースを標準化して管理するためのセキュリティガードレールがあります。1 つのガードレールは、デフォルトの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスプロファイルでは、Amazon Simple Storage Service (Amazon S3) バケットへの書き込みアクセスが許可されていないことです。ただし、組織には複数の S3 バケットがあり、EC2 インスタンスによるアクセスをより細かく制御する必要がある場合があります。たとえば、EC2 インスタンスのデータベースバックアップを S3 バケットに保存できます。

このパターンでは、変更リクエスト (RFCsを使用して、EC2 インスタンスが AMS アカウントの S3 バケットに書き込みアクセスできるようにする方法について説明します。RFC は、管理対象環境を変更するためにユーザーまたは AMS が作成したリクエストで、特定の操作の「変更タイプ」(CT) ID が含まれます。

前提条件と制限

前提条件

  • AMS Advanced アカウント。詳細については、AMS ドキュメントの「AMS オペレーションプラン」を参照してください。 

  • RFC を送信するための AWS Identity and Access Management (IAM) customer-mc-user-roleロールへのアクセス。 RFCs 

  • AWS Command Line Interface (AWS CLI) は、AMS アカウントの EC2 インスタンスでインストールおよび設定されます。 

  • AMS で RFC を作成して提出する方法に対する理解。詳細については、AMS ドキュメントの「AMS 変更タイプとは」を参照してください。

  • 手動変更タイプと自動変更タイプ (CT) に対する理解。詳細については、AMS ドキュメントのCTs」を参照してください。

アーキテクチャ

テクノロジースタック

  • AMS

  • AWS CLI

  • Amazon EC2

  • Amazon S3

  • IAM

ツール

  • AWS Command Line Interface (AWS CLI) は、コマンドラインシェルのコマンド AWS サービス を通じて とやり取りするのに役立つオープンソースツールです。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を認可するかを制御することで、 AWS リソースへのアクセスを安全に管理できます。

  • AWS Managed Services (AMS) は、AWS インフラストラクチャをより効率的かつ安全に運用するのに役立ちます。 

  • Amazon Simple Storage Service (Amazon S3) は、どのようなデータ量であっても、データを保存、保護、取得することを支援するクラウドベースのオブジェクトストレージサービスです。

  • Amazon Elastic Compute Cloud (Amazon EC2) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。必要な数の仮想サーバーを起動することができ、迅速にスケールアップまたはスケールダウンができます。

エピック

タスク説明必要なスキル

自動 RFC を使用して S3 バケットを作成します。

  1. AMS アカウントにサインインし、変更タイプの選択ページを選択し、RFC を選択して、RFC の作成を選択します。 

  2. S3 バケットの作成自動 RFC を送信します。 

注:S3 バケットの名前は必ず記録してください。

AWS システム管理者、AWS 開発者
タスク説明必要なスキル

手動 RFC を提出して IAM ロールを作成します。

AMS アカウントがオンボーディングされると、 という名前のデフォルトの IAM インスタンスプロファイルcustomer-mc-ec2-instance-profileが作成され、AMS アカウント内の各 EC2 インスタンスに関連付けられます。ただし、インスタンスプロファイルには S3 バケットへの書き込みアクセス許可はありません。

書き込みアクセス許可を追加するには、IAM リソースの作成手動 RFC を送信して、、customer_ec2_instance_customer_deny_policyおよび の 3 つのポリシーを持つ IAM ロールを作成しますcustomer_ec2_s3_integration_policy。 

重要: customer_ec2_instance_および customer_deny_policyポリシーは AMS アカウントに既に存在します。ただし、次のサンプルポリシーを使用して customer_ec2_s3_integration_policy を作成する必要があります。

{
  "Version": "2012-10-17",
   "Statement": [
    {
      "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ec2.amazonaws.com"
      },
       "Action": "sts:AssumeRole"
    }
  ]
}
 
Role Permissions:
{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Action": [
                 "s3:ListBucket",
                 "s3:GetBucketLocation"
            ],
             "Resource": "arn:aws:s3:::",
             "Effect": "Allow"
        },
        {
             "Action": [
                 "s3:GetObject",
                 "s3:PutObject",
                 "s3:ListMultipartUploadParts",
                 "s3:AbortMultipartUpload"
            ],
             "Resource": "arn:aws:s3:::/*",
             "Effect": "Allow"
        }
    ]
}
AWS システム管理者、AWS 開発者

IAM インスタンスプロファイルを置き換えるには、手動 RFC を提出してください。

手動 RFC を提出して、ターゲット EC2 インスタンスを新しい IAM インスタンスプロファイルに関連付けます。

AWS システム管理者、AWS 開発者

S3 バケットへのコピー操作をテストします。

で次のコマンドを実行して、S3 バケットへのコピーオペレーションをテストします AWS CLI。

aws s3 cp test.txt s3://<S3 bucket>/test2.txt
AWS システム管理者、AWS 開発者

関連リソース