プログラマチックアクセス権を付与する - Amazon Rekognition

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プログラマチックアクセス権を付与する

このガイドの AWS CLI およびコードの例は、ローカルコンピュータまたは他の AWS 環境 (Amazon Elastic Compute Cloud インスタンスなど) で実行できます。サンプルを実行するには、サンプルで使用する AWS SDK オペレーションへのアクセスを許可する必要があります。

ローカルコンピュータでのコードの実行

ローカルコンピュータでコードを実行するときは、短期間の認証情報を使用して AWS SDK オペレーションへのユーザーアクセスを許可することが推奨されます。AWS CLI およびコードのサンプルをローカルコンピュータで実行する詳細については、ローカルコンピュータでのプロファイルの使用 を参照してください。

AWS Management Console の外部で AWS を操作するには、プログラマチックアクセス権が必要です。プログラマチックアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラマチックアクセス権を必要とするユーザー 目的 方法

ワークフォースアイデンティティ

(IAM アイデンティティセンターで管理されているユーザー)

一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。

使用するインターフェイス用の手引きに従ってください。

IAM 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 IAM ユーザーガイド」の「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。
IAM

(非推奨)

長期的な認証情報を使用して、AWS CLI、AWS SDK、AWS API へのプログラムによるリクエストに署名します。

使用するインターフェイス用の手順に従ってください。

ローカルコンピュータでのプロファイルの使用

ローカルコンピュータでのコードの実行 で作成した短期認証情報により、このガイドの AWS CLI およびコードのサンプルを実行できます。認証情報やその他の設定情報を取得するために、以下のように profile-name という名前のプロファイルを使用します。

session = boto3.Session(profile_name="profile-name") rekognition_client = session.client("rekognition")

このプロファイルが代表するユーザーは、Rekognition SDK オペレーションと、上記の例で必要になるその他の AWS SDK オペレーションを呼び出すためのアクセス権限を持っている必要があります。

AWS CLI およびコードの例に対応するプロファイルを作成するには、次のいずれかを選択します。作成するプロファイルの名前が profile-name であることを確かめてください。

注記

コードを使用して、短期間の認証情報を取得できます。詳細については「IAM ロール (AWS API) の切り替え」を参照してください。IAM Identity Center の場合は、「Getting IAM role credentials for CLI access」にある手順に従って、ロールの短期間の認証情報を取得します。

AWS 環境内でのコードの実行

AWS 環境では、AWS Lambda 関数内で実行されているプロダクションコードなど、ユーザーの認証情報を使用して AWS SDK 呼び出しに署名しないようにします。代わりに、コードに必要なアクセス権限を定義するロールを設定します。次に、コードを実行する環境にそのロールをアタッチします。ロールをアタッチして一時的な認証情報を利用できるようにする方法は、コードを実行する環境によって異なります。

  • AWS Lambda 関数 - Lambda 関数の実行ロールを引き継ぐ場合に、Lambda が自動的に関数に提供する一時的な認証情報を使用します。認証情報は Lambda の環境変数で使用できます。プロファイルを指定する必要はありません。詳細については、「Lambda 実行ロール」を参照してください。

  • Amazon EC2 - Amazon EC2 のインスタンスメタデータエンドポイント認証情報プロバイダーを使用します。このプロバイダーは、Amazon EC2 インスタンスにアタッチされた Amazon EC2 インスタンスプロファイルを使用して、認証情報を自動的に生成して更新します。詳細については、「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス許可を付与する」を参照してください。

  • Amazon Elastic Container Service - コンテナ認証情報プロバイダーを使用します。Amazon ECS は認証情報をメタデータエンドポイントに送信して更新します。指定するタスク IAM ロールは、アプリケーションが使用する認証情報を管理するための戦略を提供します。詳細については、「Interact with AWS services」を参照してください。

認証情報プロバイダーの詳細については、「Standardized credential providers」を参照してください。