IAM ロールの継承 - AWS SDK for PHP

IAM ロールの継承

IAM ロールによる Amazon EC2 インスタンス変数の認証情報の取得

Amazon EC2 インスタンスでアプリケーションを実行している場合、AWS を呼び出すための認証情報を提供する最適な方法は、IAM ロールを使用して一時的セキュリティ認証情報を取得することです。

IAM ロールを使用すると、アプリケーションで認証情報の管理について気にする必要がなくなります。Amazon EC2 インスタンスのメタデータサーバーから一時認証情報を取得することで、インスタンスはロールを「継承」できます。

一時認証情報 (インスタンスプロファイルの認証情報とも呼ばれます) は、ロールのポリシーで許可されているアクションとリソースへのアクセスを可能にします。IAM サービスに対してインスタンスを安全に認証してロールを継承すること、および取得したロールの認証情報を定期的に更新することの細かい段取りはすべて Amazon EC2 によって処理されます。これにより、ユーザーはほとんど何もしなくてもアプリケーションの安全性が保たれます。

注記

インスタンスプロファイルの認証情報および AWS Security Token Service (AWS STS) によって生成された他の一時認証情報は、一部のサービスではサポートされていません。使用しているサービスで一時認証情報がサポートされているかどうかを確認するには、「AWS STS をサポートする AWS のサービス」を参照してください。

メタデータサービスから毎回取得することを回避するために、Aws\CacheInterface のインスタンスをクライアントコンストラクタの 'credentials' オプションとして渡すことができます。これにより、SDK はキャッシュされているインスタンスプロファイルの認証情報を代わりに使用します。詳細については、「AWS SDK for PHP バージョン 3 の設定」を参照してください。

IAM ロールを作成して Amazon EC2 インスタンスに割り当てる

  1. IAM クライアントを作成します。

    インポート

    require 'vendor/autoload.php'; use Aws\Iam\IamClient;

    サンプルコード

    $client = new IamClient([ 'region' => 'us-west-2', 'version' => '2010-05-08' ]);
  2. 使用するアクションとリソースへのアクセス許可を持つ IAM ロールを作成します。

    サンプルコード

    $result = $client->createRole([ 'AssumeRolePolicyDocument' => 'IAM JSON Policy', // REQUIRED 'Description' => 'Description of Role', 'RoleName' => 'RoleName', // REQUIRED ]);
  3. IAM インスタンスプロファイルを作成し、結果の Amazon リソースネーム (ARN) を保存します。

    注記

    AWS SDK for PHP の代わりに IAM コンソールを使用すると、コンソールによってインスタンスプロファイルが自動的に作成され、対応するロールと同じ名前が付けられます。

    サンプルコード

    $IPN = 'InstanceProfileName'; $result = $client->createInstanceProfile([ 'InstanceProfileName' => $IPN , ]); $ARN = $result['Arn']; $InstanceID = $result['InstanceProfileId'];
  4. Amazon EC2 クライアントを作成します。

    インポート

    require 'vendor/autoload.php'; use Aws\Ec2\Ec2Client;

    サンプルコード

    $ec2Client = new Ec2Client([ 'region' => 'us-west-2', 'version' => '2016-11-15', ]);
  5. 実行中または停止中の Amazon EC2 インスタンスにインスタンスプロファイルを追加します。IAM ロールのインスタンスプロファイル名を使用します。

    サンプルコード

    $result = $ec2Client->associateIamInstanceProfile([ 'IamInstanceProfile' => [ 'Arn' => $ARN, 'Name' => $IPN, ], 'InstanceId' => $InstanceID ]);

詳細については、「Amazon EC2 の IAM ロール」を参照してください。

Amazon ECS タスクの IAM ロールの使用

Amazon Elastic Container Service (Amazon ECS) タスク用の IAM ロールを使用すると、タスクのコンテナで使用できる IAM ロールを指定できます。これにより、Amazon EC2 インスタンスプロファイルから Amazon EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションで使用する認証情報を管理できます。

AWS 認証情報を作成してコンテナに配布したり、Amazon EC2 インスタンスのロールを使用したりする代わりに、IAM ロールを ECS タスク定義または RunTask API オペレーションと関連付けることができます。

注記

インスタンスプロファイルの認証情報および AWS STS によって生成された他の一時認証情報は、一部のサービスではサポートされていません。使用しているサービスで一時認証情報がサポートされているかどうかを確認するには、「AWS STS をサポートする AWS のサービス」を参照してください。

詳細については、「Amazon EC2 Container Service タスクの IAM ロール」を参照してください。

別の AWS アカウントの IAM ロールを継承する

AWS アカウント (アカウント A) で操作する際に別のアカウント (アカウント B) のロールを継承する場合は、まず、アカウント B に IAM ロールを作成する必要があります。このロールにより、アカウント (アカウント A) のエンティティがアカウント B で特定のアクションを実行できるようになります。クロスアカウントアクセスに関する詳細は、「チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任」を参照してください。

アカウント B にロールを作成した後、ロールの ARN を記録します。アカウント A のロールを継承する際にこの ARN を使用します。アカウント A のエンティティに関連付けられた AWS 認証情報を使用して、ロールを継承します。

AWS アカウントの認証情報を使用して AWS STS クライアントを作成します。以下では認証情報プロファイルを使用しますが、任意の方法を使用できます。新しく作成した AWS STS クライアントで assume-role を呼び出し、カスタム sessionName を提供します。結果から新しい一時認証情報を取得します。デフォルトでは認証情報の有効期間は 1 時間です。

サンプルコード

$stsClient = new Aws\Sts\StsClient([ 'profile' => 'default', 'region' => 'us-east-2', 'version' => '2011-06-15' ]); $ARN = "arn:aws:iam::123456789012:role/xaccounts3access"; $sessionName = "s3-access-example"; $result = $stsClient->AssumeRole([ 'RoleArn' => $ARN, 'RoleSessionName' => $sessionName, ]); $s3Client = new S3Client([ 'version' => '2006-03-01', 'region' => 'us-west-2', 'credentials' => [ 'key' => $result['Credentials']['AccessKeyId'], 'secret' => $result['Credentials']['SecretAccessKey'], 'token' => $result['Credentials']['SessionToken'] ] ]);

詳細については、『AWS SDK for PHP API リファレンス』の「IAM ロールの使用」または「AssumeRole」を参照してください。

ウェブ ID がある IAM ロールを使用する

ウェブ ID フェデレーションにより、顧客は AWS リソースにアクセスする際の認証にサードパーティー ID プロバイダーを使用できるようになります。ウェブ ID があるロールを継承できるようになるには、その前に IAM ロールを作成してウェブ ID プロバイダー (dP) を設定する必要があります。詳細については、「ウェブ ID または OpenID Connect フェデレーション用のロールを作成する (コンソール)」を参照してください。

ID プロバイダーを作成しウェブ ID のロールを作成した後、AWS STS クライアントを使用してユーザーを認証します。ID の webIdentityToken と ProviderId、およびユーザーのアクセス許可を持つ IAM ロールのロールの ARN を提供します。

サンプルコード

$stsClient = new Aws\Sts\StsClient([ 'profile' => 'default', 'region' => 'us-east-2', 'version' => '2011-06-15' ]); $ARN = "arn:aws:iam::123456789012:role/xaccounts3access"; $sessionName = "s3-access-example"; $duration = 3600; $result = $stsClient->AssumeRoleWithWebIdentity([ 'WebIdentityToken' => "FACEBOOK_ACCESS_TOKEN", 'ProviderId' => "graph.facebook.com", 'RoleArn' => $ARN, 'RoleSessionName' => $sessionName, ]); $s3Client = new S3Client([ 'version' => '2006-03-01', 'region' => 'us-west-2', 'credentials' => [ 'key' => $result['Credentials']['AccessKeyId'], 'secret' => $result['Credentials']['SecretAccessKey'], 'token' => $result['Credentials']['SessionToken'] ] ]);

詳細については、『AWS SDK for PHP API リファレンス』の「AssumeRoleWithWebIdentity - ウェブベースの ID プロバイダーを経由したフェデレーション」または「AssumeRoleWithWebIdentity」を参照してください。