IAM ロールの継承 - AWS SDK for PHP
IAM ロールによる Amazon EC2 インスタンス変数の認証情報の取得Amazon ECS タスク用の IAM ロールの使用別の で IAM ロールを引き受ける AWS アカウントウェブ ID がある IAM ロールの使用プロファイルのあるロールを継承する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ロールの継承

IAM ロールによる Amazon EC2 インスタンス変数の認証情報の取得

Amazon EC2 インスタンスでアプリケーションを実行している場合、 を呼び出すための認証情報を提供するには、IAM ロール AWS を使用して一時的なセキュリティ認証情報を取得することをお勧めします。

IAM ロールを使用すると、アプリケーションで認証情報の管理について気にする必要がなくなります。Amazon EC2 インスタンスのメタデータサーバーから一時認証情報を取得することで、インスタンスはロールを「継承」できます。

一時認証情報 (インスタンスプロファイルの認証情報とも呼ばれます) は、ロールのポリシーで許可されているアクションとリソースへのアクセスを可能にします。IAM サービスに対してインスタンスを安全に認証してロールを継承すること、および取得したロールの認証情報を定期的に更新することの細かい段取りはすべて Amazon EC2 によって処理されます。これにより、ユーザーはほとんど何もしなくてもアプリケーションの安全性が保たれます。一時的なセキュリティ認証情報を受け入れるサービスのリストについては、IAM ユーザーガイドの「IAM と連携するAWS サービス」を参照してください。

注記

メタデータサービスから毎回取得することを回避するために、Aws\CacheInterface のインスタンスをクライアントコンストラクタの 'credentials' オプションとして渡すことができます。これにより、SDK はキャッシュされているインスタンスプロファイルの認証情報を代わりに使用します。詳細については、「AWS SDK for PHP バージョン 3 の設定」を参照してください。

SDK を使用して Amazon EC2 アプリケーションを開発する方法の詳細については、AWS SDK およびツールリファレンスガイドの「Amazon EC2 インスタンス用の IAM ロールの使用」を参照してください。

IAM ロールの作成と Amazon EC2 インスタンスへの割り当て

  1. IAM クライアントを作成します。

    インポート 

    require 'vendor/autoload.php';

use Aws\Iam\IamClient;

    サンプルコード 

    $client = new IamClient([
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

  2. 使用するアクションとリソースへのアクセス許可を持つ IAM ロールを作成します。

    サンプルコード 

    $result = $client->createRole([
    'AssumeRolePolicyDocument' => 'IAM JSON Policy', // REQUIRED
    'Description' => 'Description of Role',
    'RoleName' => 'RoleName', // REQUIRED
]);

  3. IAM インスタンスプロファイルを作成し、結果の Amazon リソースネーム (ARN) を保存します。

    注記

    の代わりに IAM コンソールを使用する場合 AWS SDK for PHP、コンソールはインスタンスプロファイルを自動的に作成し、対応するロールと同じ名前を付けます。

    サンプルコード 

    $IPN = 'InstanceProfileName';

$result = $client->createInstanceProfile([
    'InstanceProfileName' => $IPN ,
]);

$ARN = $result['Arn'];
$InstanceID =  $result['InstanceProfileId'];

  4. Amazon EC2 クライアントを作成します。

    インポート 

    require 'vendor/autoload.php';

use Aws\Ec2\Ec2Client;

    サンプルコード 

    $ec2Client = new Ec2Client([
    'region' => 'us-west-2',
    'version' => '2016-11-15',
]);

  5. 実行中または停止中の Amazon EC2 インスタンスにインスタンスプロファイルを追加します。IAM ロールのインスタンスプロファイル名を使用します。

    サンプルコード 

     $result = $ec2Client->associateIamInstanceProfile([
    'IamInstanceProfile' => [
        'Arn' => $ARN,
        'Name' => $IPN,
    ],
    'InstanceId' => $InstanceID
]);

詳細については、Amazon EC2 ユーザーガイドの「Amazon EC2 の IAM ロール」を参照してください。

Amazon ECS タスク用の IAM ロールの使用

Amazon Elastic Container Service (Amazon ECS) のタスクは、IAM ロールを引き受けて AWS API コールを行うことができます。これにより、Amazon EC2 インスタンスプロファイルから Amazon EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションで使用する認証情報を管理できます。

長期 AWS 認証情報を作成してコンテナに配布したり、Amazon EC2 インスタンスのロールを使用する代わりに、一時的な認証情報を使用する IAM ロールを ECS タスク定義または RunTask API オペレーションに関連付けることができます。

コンテナタスクが引き受けることができる IAM ロールの使用方法の詳細については、Amazon ECS 開発者ガイドの「タスク IAM ロール」トピックを参照してください。タスク定義で taskRoleArn 形式のタスク IAM ロールを使用する例については、Amazon ECS 開発者ガイドの「タスク定義の例」も参照してください。

別の で IAM ロールを引き受ける AWS アカウント

( AWS アカウント アカウント A) で作業し、別のアカウント (アカウント B) でロールを引き受けるときは、まずアカウント B で IAM ロールを作成する必要があります。このロールにより、アカウント (アカウント A) のエンティティがアカウント B で特定のアクションを実行できるようになります。クロスアカウントアクセスの詳細については、「チュートリアル: IAM ロールを使用して AWS アカウント間でアクセスを委任する」を参照してください。

アカウント B にロールを作成した後、ロールの ARN を記録します。この ARN は、アカウント A からロールを引き受けるときに使用します。ロールは、アカウント A のエンティティに関連付けられた AWS 認証情報を使用して引き受けます。

の認証情報を使用して AWS STS クライアントを作成します AWS アカウント。以下では認証情報プロファイルを使用しますが、任意の方法を使用できます。新しく作成した AWS STS クライアントで assume-role を呼び出し、カスタム sessionName を提供します。結果から新しい一時認証情報を取得します。認証情報の有効期間は 1 時間です。

サンプルコード 

$stsClient = new Aws\Sts\StsClient([
    'profile' => 'default',
    'region' => 'us-east-2',
    'version' => '2011-06-15'
]);

$ARN = "arn:aws:iam::123456789012:role/xaccounts3access";
$sessionName = "s3-access-example";

$result = $stsClient->AssumeRole([
      'RoleArn' => $ARN,
      'RoleSessionName' => $sessionName,
]);

 $s3Client = new S3Client([
    'version'     => '2006-03-01',
    'region'      => 'us-west-2',
    'credentials' =>  [
        'key'    => $result['Credentials']['AccessKeyId'],
        'secret' => $result['Credentials']['SecretAccessKey'],
        'token'  => $result['Credentials']['SessionToken']
    ]
]);

詳細については、 AWS SDK for PHP API リファレンスの「IAM ロールの使用」またはAssumeRole「」を参照してください。

ウェブ ID がある IAM ロールの使用

Web Identity フェデレーションを使用すると、お客様は AWS リソースにアクセスするときに認証にサードパーティーの ID プロバイダーを使用できます。ウェブ ID があるロールを継承できるようになるには、その前に IAM ロールを作成してウェブ ID プロバイダー (dP) を設定する必要があります。詳細については、「ウェブ ID または OpenID Connect フェデレーション用のロールを作成する (コンソール)」を参照してください。

ID プロバイダーを作成し、ウェブ ID のロールを作成したら、 クライアントを使用してユーザーを認証します。 AWS STS ID ProviderId の webIdentityToken と 、およびユーザーのアクセス許可を持つ IAM ロールのロール ARN を指定します。

サンプルコード 

$stsClient = new Aws\Sts\StsClient([
    'profile' => 'default',
    'region' => 'us-east-2',
    'version' => '2011-06-15'
]);

$ARN = "arn:aws:iam::123456789012:role/xaccounts3access";
$sessionName = "s3-access-example";
$duration = 3600;

$result = $stsClient->AssumeRoleWithWebIdentity([
      'WebIdentityToken' => "FACEBOOK_ACCESS_TOKEN",
      'ProviderId' => "graph.facebook.com",
      'RoleArn' => $ARN,
      'RoleSessionName' => $sessionName,
]);

 $s3Client = new S3Client([
    'version'     => '2006-03-01',
    'region'      => 'us-west-2',
    'credentials' =>  [
        'key'    => $result['Credentials']['AccessKeyId'],
        'secret' => $result['Credentials']['SecretAccessKey'],
        'token'  => $result['Credentials']['SessionToken']
    ]
]);

詳細については、AssumeRoleWithWebIdentity「 ウェブベースの ID プロバイダー経由のフェデレーション」または AWS SDK for PHP 「 API リファレンスAssumeRoleWithWebIdentity」を参照してください。

プロファイルのあるロールを継承する

~/.aws/credentials でプロファイルを定義する

でプロファイルを定義することで、IAM ロール AWS SDK for PHP を使用するように を設定できます~/.aws/credentials

継承するロールの role_arn 設定を持つ新しいプロファイルを作成します。また、IAM ロールを継承するアクセス許可を持つ認証情報のあるプロファイルの source_profile 設定を含めます。これらの設定について詳しくは、AWS SDK およびツールリファレンスガイドの「ロールの継承の認証情報」を参照してください。

たとえば、以下の ~/.aws/credentials では、project1 プロファイルが role_arn を設定し、default プロファイルを認証情報のソースとして指定して、そのプロファイルに関連付けられているエンティティがロールを引き継ぐことができることを確認しています。

[project1]
role_arn = arn:aws:iam::123456789012:role/testing
source_profile = default
role_session_name = OPTIONAL_SESSION_NAME

[default]
aws_access_key_id = YOUR_AWS_ACCESS_KEY_ID
aws_secret_access_key = YOUR_AWS_SECRET_ACCESS_KEY
aws_session_token= YOUR_AWS_SESSION_TOKEN

AWS_PROFILE 環境変数を設定するか、サービスクライアントをインスタンス化する際に profile パラメーターを使用することで、project1 で特定されたロールは、default プロファイルをソース認証情報を使用して継承されます。

次のスニペットは、S3Client コンストラクタでの profile パラメーターの使用方法を示しています。S3Client には、project1 プロファイルに関連付けられたロールに関連する権限が付与されます。

$s3 = new Aws\S3\S3Client([
    'region' => 'us-east-1',
    'version' => '2006-03-01',
    'profile' => 'project1'
]);

~/.aws/config でプロファイルを定義する

~/.aws/config ファイルには、継承するプロファイルを含めることもできます。環境変数 AWS_SDK_LOAD_NONDEFAULT_CONFIG を設定すると、SDK for PHP は config ファイルからプロファイルをロードします。AWS_SDK_LOAD_NONDEFAULT_CONFIG を設定すると、SDK は ~/.aws/config~/.aws/credentials の両方からプロファイルをロードします。~/.aws/credentials のプロファイルは最後にロードされ、~/.aws/config から同じ名前でロードされたプロファイルよりも優先されます。どちらの場所からロードされたプロファイルも、source_profile または引き受けるプロファイルとして使用できます。

次の例では、config ファイルに定義されている project1 プロファイルと credentials ファイル内の default プロファイルを使用しています。AWS_SDK_LOAD_NONDEFAULT_CONFIG も設定されています。

# Profile in ~/.aws/config.

[profile project1]
role_arn = arn:aws:iam::123456789012:role/testing
source_profile = default
role_session_name = OPTIONAL_SESSION_NAME
# Profile in ~/.aws/credentials.

[default]
aws_access_key_id = YOUR_AWS_ACCESS_KEY_ID
aws_secret_access_key = YOUR_AWS_SECRET_ACCESS_KEY
aws_session_token= YOUR_AWS_SESSION_TOKEN

次のスニペットが表示されている S3Client コンストラクタを実行すると、project1 プロファイルで定義されたロールは、default プロファイルに関連付けられた認証情報を使用して引き継がれます。

$s3 = new Aws\S3\S3Client([
    'region' => 'us-east-1',
    'version' => '2006-03-01',
    'profile' => 'project1'
]);