認証とアクセス

AWS のサービス を使用して開発する際には、AWS によりコードがどのように認証するかを確立する必要があります。環境と利用可能な AWS のアクセスに応じて、AWS リソースへのプログラムによるアクセスはさまざまな方法で設定できます。

ローカル (AWS 内部ではない) で実行されるコードの認証オプション

• IAM Identity Center 認証セキュリティのベストプラクティスとして、AWS Organizations と IAM Identity Center を使用して、すべての AWS アカウント にわたってアクセスを管理することをお勧めします。AWS IAM Identity Center でユーザーを作成するか、Microsoft Active Directory を使用するか、SAML 2.0 ID プロバイダー (IdP) を使用するか、または IdP を AWS アカウント に個別にフェデレーションすることができます。お使いのリージョンが IAM Identity Center をサポートしているかどうかを確認するには、Amazon Web Services 全般のリファレンス の「AWS IAM Identity Center エンドポイントとクォータ」を参照してください。

• IAM Roles Anywhere – IAM Roles Anywhere を使用すると、サーバー、コンテナ、アプリケーションなど、AWS の外部で実行されるワークロードに関する一時的なセキュリティ認証情報を、IAM で取得することがきます。IAM Roles Anywhere を使用するには、ワークロードで X.509 証明書を使用する必要があります。

• ロールの割り当て – IAM ロールを引き受けて、他の方法ではアクセスできない可能性のある AWS リソースに一時的にアクセスできます。

• AWS アクセスキー — あまり便利でなかったり、 AWS リソースのセキュリティリスクを増大させたりする可能性のあるその他のオプション。

AWS環境内で実行されるコードの認証オプション

• Amazon EC2インスタンスでのIAMロールの使用 — IAM ロールを使用して、Amazon EC2 インスタンスでアプリケーションを安全に実行します。

• IAM Identity Center AWS を使用してプログラムから操作する方法は次のとおりです。

  • コンソールから AWS CLI コマンドを実行する場合に「AWS CloudShell」 を使用します。

  • AWS リソースを備えた統合開発環境 (IDE) を AWS で使用してプログラミングを開始する場合に「AWS Cloud9」 を使用します。

  • ソフトウェア開発チーム向けのクラウドベースのコラボレーションスペースを試すには、「Amazon CodeCatalyst」 のご使用を検討ください。

ウェブベースのアイデンティティープロバイダーによる認証 - モバイルまたはクライアントベースのウェブアプリケーション

AWS へのアクセスを必要とするモバイルアプリケーションまたはクライアントベースのウェブアプリケーションを作成する場合は、ウェブ ID フェデレーションを使用して AWS 一時的なセキュリティ認証情報を動的に要求するようにアプリを構築してください。

ウェブ ID フェデレーションを使用すると、カスタムサインインコードを作成したり独自のユーザー ID を管理したりする必要はありません。その代わりに、アプリのユーザーは、よく知られている外部 ID プロバイダー (IdP) (例: Login with Amazon、Facebook、Google などの OpenID Connect (OIDC) 互換の IdP) を使用してサインインすることができます。認証トークンを受け取ったら、そのトークンを AWS アカウント のリソースを使用するためのアクセス許可を持つ IAM ロールにマッピングし、AWS の一時的セキュリティ認証情報に変換することができます。

SDK またはツールへ設定する方法については、「ウェブアイデンティティまたは OpenIDコネクトとのフェデレーション」を参照してください。

モバイルアプリケーションに対しては、Amazon Cognito の使用をお勧めします。Amazon Cognito は ID ブローカーとして機能し、ユーザーの代わりに多くのフェデレーション作業を行います。詳細については、「IAM ユーザーガイド」の「モバイルアプリに対する Amazon Cognito の使用」を参照してください。

アクセス管理に関する詳細情報

「IAM ユーザーガイド」には、AWS リソースにアクセスするためのアクセス許可を安全に制御するための以下の詳細情報があります。

• IAM ID (ユーザー、ユーザーグループ、ロール) - AWS のアイデンティティ基本を理解します。

• IAM におけるセキュリティのベストプラクティス —「責任分担モデル」 に従って AWS アプリケーションを開発する際に従うべきセキュリティ上の推奨事項。

Amazon Web Services 全般のリファレンス には、以下に関する基本的な基本事項があります。

• AWS 認証情報の理解と取得 — コンソールアクセスとプログラムアクセスの両方に関するアクセスキーオプションと管理プラクティス。

AWS ビルダー ID

すでに所有している、または作成したい AWS アカウント を AWS ビルダー ID で補完します。AWS アカウント は作成する AWS リソースのコンテナとして機能し、それらのリソースにセキュリティ境界を設けるのに対し、AWS ビルダー ID ユーザー個人を表します。AWS ビルダー ID を使用してサインインし、Amazon CodeWhispererやAmazon CodeCatalystなどの開発者ツールやサービスにアクセスできます。

• AWS サインイン ユーザーガイドでの「AWS ビルダー ID によるサインイン」 — AWS ビルダー ID の作成方法と使用方法、Builder ID の機能について学んでください。

• CodeWhisperer と AWS Toolkit -Builder ID による認証」 — 「CodeWhisperer ユーザーガイド」でのBuilder ID – CodeWhispererが AWS ビルダー ID を使用する方法について説明します。

• CodeCatalyst の概念 - Amazon CodeCatalyst ユーザーガイドでのAWS ビルダー ID – CodeCatalyst での AWS ビルダー ID の使用方法について説明します。