アイデンティティとアクセスの管理 - AWS Toolkit for Eclipse

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

アイデンティティとアクセスの管理

AWS Identity and Access Management (IAM) を使用すると、AWS リソースにアクセスできるユーザーとそれらのユーザーが実行できる操作を制御できます。AWS Explorer では、IAM ユーザー、グループ、ロールを作成して管理できます。また、ユーザーのパスワードポリシーを設定して、そのポリシーでパスワード要件 (最小長など) を指定したり、自分のパスワードの変更が許可されるユーザーを指定したりできます。

注記

ベストプラクティスとして、アカウントの所有者を含むすべてのユーザーは、IAM ユーザーとして AWS リソースにアクセスすることをお勧めします。このようにすることで、いずれかの IAM ユーザーの認証情報が侵害された場合も、アカウントのルート認証情報を変更する必要はなく、それらのユーザーの認証情報を失効させるだけで済みます。

AWS Identity and Access Management について

管理者自身のアカウントのパスワードとセキュリティ認証情報 (アクセスキー ID とシークレットアクセスキー) を共有する代わりに、IAM ユーザーを作成して各ユーザーに個別のパスワードとセキュリティ認証情報を割り当てることができます。その後、各ユーザーにポリシーをアタッチできます。ポリシーでは、そのユーザーが実行できるアクションとアクセスを許可されるリソースを決定するアクセス許可を指定します。

個々のユーザーにポリシーを追加する代わりに、IAM グループ (AdminsDevelopers など) を作成してポリシーをアタッチしてから、これらのグループにユーザーを追加することもできます。また、ロールを作成して、アクセス許可を定義したポリシーをロールにアタッチすることもできます。ロールは、他のアカウントのユーザー、サービス、IAM ID のないユーザーが引き継ぐことができます。IAM の詳細については、IAM ユーザーガイドを参照してください。

IAM ユーザーを作成する

IAM ユーザーを作成して、組織内の他のユーザーにそれぞれ個別の AWS ID を割り当てることができます。IAM ユーザーにアクセス許可を割り当てるには、ユーザーに IAM ポリシーをアタッチするか、ユーザーをグループに割り当てます。グループに割り当てた IAM ユーザーは、グループにアタッチされているポリシーからアクセス許可を引き継ぎます。詳細については、「IAM グループを作成する」と「IAM グループに IAM ユーザーを追加する」を参照してください。

Toolkit を使用して、IAM ユーザーの AWS 認証情報 (アクセスキー ID とシークレットアクセスキー) を生成することもできます。詳細については、「IAM ユーザーの認証情報を管理する」を参照してください。

IAM ユーザーを作成するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Users] ノードを右クリックして、[Create New Users] を選択します。

  2. [Create New Users] ダイアログボックスで、新しい IAM ユーザー用に最大 5 つの名前を入力したら、[Finish] をクリックします。IAM ユーザー名の制約については、IAM User Guide の「IAM エンティティに関する制限事項」を参照してください。

グループにユーザーを追加する方法については、「IAM グループに IAM ユーザーを追加する」を参照してください。ポリシーを作成してユーザーにアタッチする方法については、「ユーザー、グループ、またはロールに IAM ポリシーをアタッチする」を参照してください。

&IAM; グループの作成

アクセス許可の管理が簡単になるように、グループに IAM ユーザーを追加できます。グループにアタッチされているアクセス許可はすべてそのグループのいずれのユーザーにも適用されます。IAM グループの詳細については、IAM User Guide の「IAM ユーザーとグループ」を参照してください。

グループの作成時、グループのメンバーに付与されるアクセス許可を定義したポリシーを作成できます。

IAM グループを作成するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Groups] ノードを右クリックして、[Create New Group] を選択します。

  2. 新しい IAM グループの名前を入力し、[Next] をクリックします。

  3. グループのメンバーが実行を許可される操作を決定するポリシーの名前を入力します。ポリシーを JSON 形式のドキュメントとして入力し、[OK] をクリックします。

    ポリシー名はアカウント内で一意にする必要があります。入力したポリシーは JSON の正確性について検証する必要があります。検証後に保存できるようになります。ポリシーの作成方法については、IAM User Guide の「ポリシーの概要」を参照してください。

  4. [Finish] をクリックします。

IAM グループに追加のポリシーをアタッチする方法については、「ユーザー、グループ、またはロールに IAM ポリシーをアタッチする」を参照してください。

IAM グループに IAM ユーザーを追加する

IAM ユーザーをグループに追加すると、グループにアタッチされているポリシーもすべてそのユーザーに対して有効になります。IAM ユーザーの詳細については、IAM User Guide の「ユーザーとグループ」を参照してください。

IAM グループに IAM ユーザーを追加するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Groups] を右クリックして、[Open Groups Editor] を選択します。IAMユーザーを グループ ノード AWSエクスプローラー より簡単に ユーザー ノード。

  2. [Groups] エディターで、ユーザーを追加するグループを選択し、[Users] タブをクリックします。

  3. 下部のペインの右側で、[Add Users] ボタンをクリックします。

  4. [Add Users to Group] ダイアログボックスで、追加するユーザーを選択し、[OK] をクリックします。

IAM ユーザーの認証情報を管理する

ユーザーごとに、パスワードを追加できます。IAM ユーザーはパスワードを使用して AWS マネジメントコンソール で AWS リソースの操作を行います。

IAM ユーザーのパスワードを作成するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Users] ノードを右クリックして、[Open Users Editor] を選択します。

  2. ユーザーのリストで、パスワードを作成するユーザーを選択し、[Summary] タブをクリックします。

  3. 下部のペインの右側で、[Update Password] ボタンをクリックします。

  4. [Update User Password] ダイアログボックスで、パスワードを入力し、[OK] をクリックします。

    注記

    新しいパスワードで既存のパスワードは上書きされます。

ユーザーごとに、一連のアクセスキー (アクセスキー ID とシークレットアクセスキー) を生成することもできます。これらのキーは、AWS へのプログラムによるアクセスでユーザーに代わって使用されます。たとえば、AWS コマンドラインインターフェイス (CLI) からの操作の実行や、SDK を使用したプログラムによるリクエストへの署名、Toolkit 経由での AWS のサービスへのアクセスに使用できます (Toolkit 用に認証情報を指定する方法については、「AWS 認証情報の設定」を参照)

IAM ユーザーのアクセスキーを生成するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Users] ノードを右クリックして、[Open Users Editor] を選択します。

  2. ユーザーのリストで、キーを生成するユーザーを選択し、[Summary] タブをクリックします。

  3. [Manage Access Keys] ボタンをクリックします。

    ユーザーのアクセスキーを管理できるウィンドウが表示されます。

  4. [Create Access Key] ボタンをクリックします。

    [Manage Access Key] ダイアログボックスが表示されます。

  5. [ダウンロード] ボタンをクリックして、生成された認証情報を含むカンマ区切り値 (CSV) ファイルをダウンロードします。

    注記

    このタイミングでしか、これらのアクセスキーを表示およびダウンロードすることはできません。これらのキーを紛失した場合は、それらのキーを削除し、アクセスキーの新しいセットを作成する必要があります。

IAM ユーザーごとに 2 セットのみの認証情報を生成できます。2 セットの認証情報がすでにあり、追加のセットを作成する必要がある場合は、まず既存のセットのいずれかを削除する必要があります。

認証情報を無効にすることもできます。その場合、認証情報はまだ存在しますが、その認証情報を使用して行った AWS へのすべてのリクエストは失敗します。これが便利なのは、認証情報のそのセットに対して AWS へのアクセスを一時的に無効にする場合です。以前に無効にした認証情報は再びアクティブにすることができます。

IAM ユーザーのアクセスキーを削除する、非アクティブにする、再びアクティブにする

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Users] ノードを右クリックして、[Open Users Editor] を選択します。

  2. ユーザーのリストで、アクセスキーを管理するユーザーを選択し、[Summary] タブをクリックし、[Manage Access Keys] ボタンをクリックします。

  3. そのユーザーのアクセスキーが一覧表示されたウィンドウで、管理する資格情報を右クリックし、以下のいずれかを選択します。

    • Delete Access Key

    • Make Inactive

    • Make Active

IAM ロールを作成します。

AWS Toolkit を使用して、IAM ロールを作成できます。このロールは、AWS リソースへのアクセスを許可されたエンティティが引き継ぐことができます。ロールにアタッチするポリシーにより、ロールを引き継ぐユーザー (信頼済みエンティティまたはプリンシパル) と、それらのエンティティが実行を許可される操作が決まります。

Toolkit で、以下の信頼済みエンティティを指定できます。

  • AWS のサービス。たとえば、Amazon EC2 に他の AWS のサービスの呼び出しを許可したり、AWS Data Pipeline に Amazon EC2 インスタンスの管理を許可したりするロールを作成できます。これは、サービスロールと呼ばれます。

  • 所有する別のアカウント。複数の AWS アカウントを所有している場合は、あるアカウントのユーザーに別のアカウントのリソースへのアクセスを許可するロールを作成できます。

  • サードパーティーのアカウント。サードパーティーベンダーに AWS リソースの管理を許可する場合があります。その場合は、サードパーティーの AWS アカウントが信頼済みエンティティになるロールを作成できます。

信頼済みエンティティになるユーザーを指定した後、ロールが実行を許可される操作を決定するポリシーを指定できます。

たとえば、ロールを作成したら、いずれかの Amazon S3 バケットのみへのアクセスを許可するポリシーをそのロールにアタッチできます。そのロールは Amazon EC2 インスタンスに関連付けることができます。Amazon EC2 インスタンスでアプリケーションを実行すると、アプリケーションは、ロールのポリシーでアクセスを許可した Amazon S3 バケットにのみアクセスできます。

IAM ロールの詳細については、IAM User Guide の「IAM ロール」を参照してください。

IAM ロールを作成するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Roles] ノードを右クリックして、[Create New Role] を選択します。

  2. IAM ロールの名前を入力し、[Next] をクリックします。

  3. ロールの信頼済みエンティティを選択します。サービスロールを作成するには、[AWS Service Roles] を選択し、ドロップダウンリストでサービスロールを選択します。

    自分が所有する別の AWS アカウントに定義されているユーザーにアクセスを許可するには、[Account ID] を選択し、その別の AWS アカウントの番号を入力します。

    サードパーティーのアカウントにアクセスを許可するには、[Account ID] を選択し、サードパーティーの AWS アカウント番号を入力します。サードパーティーによって外部 ID が提供されている場合は、その ID も入力します。

  4. [Next] をクリックします。

  5. ロールが実行を許可される操作を決定するポリシーの名前を入力します。その後、ポリシーを JSON ドキュメントとして入力し、[OK] をクリックします。

    ポリシー名はアカウント内で一意にする必要があります。入力したポリシーは JSON の正確性について検証する必要があります。検証後に保存できるようになります。ポリシーの作成方法については、以下を参照してください。 方針の概要IAMの使用 ガイドを参照してください。

  6. [Finish] をクリックします。

    新しい IAM ロールが [Roles] エディターに表示されます。

Amazon EC2 インスタンスに関連付けられている IAM ロールを使用して AWS にアクセスする方法を示す例については、AWS SDK for Java Developer Guide の「Amazon EC2 での IAM ロールを使用した AWS リソースへのアクセス権限の付与」を参照してください。

ユーザー、グループ、またはロールに IAM ポリシーをアタッチする

ポリシーはアクセス許可を定義したドキュメントです。たとえば、ユーザーにアタッチするポリシーの場合、ユーザーに呼び出しを許可する AWS アクションと、そのアクションの実行を許可するリソースを指定できます。グループにアタッチするポリシーの場合、そのアクセス許可はグループのユーザーに適用されます。ロールにアタッチするポリシーの場合、アクセス許可は、ロールを引き継ぐユーザーすべてに適用されます。

ユーザーまたはグループにポリシーをアタッチするプロセスは似ています。ロールには、そのロールが実行を許可される操作を決定するポリシーをアタッチできます。別のプロセス (信頼関係の管理) で、ロールの引き継ぎを許可するユーザーを決定するポリシーをアタッチまたは編集します。

注記

ユーザー、グループ、またはロールにポリシーを以前にアタッチした場合は、以下の手順を使用して、追加のポリシーをアタッチできます。ユーザー、グループ、またはロールの既存のポリシーを編集するには、IAM コンソール、コマンドラインツール、または API 呼び出しを使用します。

ユーザー、グループ、またはロールの IAM ポリシーを作成するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Groups]、[Users]、または [Roles] のノードをダブルクリックします。

  2. ポリシーをアタッチするグループ、ユーザー、またはロールを選択し、[Permissions] タブをクリックします。

  3. 下部のペインの右側で、[Attach Policy] ボタンをクリックします。

  4. [Manage Group Policy]、[Manage User Policy]、または [Manage Role Permissions] のダイアログボックスで、ポリシーの名前を入力します。その後、ポリシーを JSON ドキュメントとして入力し、[OK] をクリックします。

    ポリシー名はアカウント内で一意にする必要があります。入力したポリシーは JSON の正確性について検証する必要があります。検証後に保存できるようになります。ポリシーの作成方法については、IAM User Guide の「IAM ポリシーの概要」を参照してください。

ロールの信頼関係を作成または管理するには

  1. AWS Explorer で、[AWS Identity and Access Management] ノードを展開し、[Roles] ノードをダブルクリックします。

  2. [Roles] エディターで、管理するロールを選択し、[Trust Relationships] タブをクリックします。

  3. 下部のペインの右側で、[Edit Trust Relationship] ボタンをクリックします。

  4. [Edit Trust Relationship] ダイアログボックスで、ポリシーの JSON ドキュメントを編集し、[OK] をクリックします。

パスワードポリシーを設定する

AWS Toolkit for Eclipse で、アカウントのパスワードポリシーを設定できます。これにより、IAM のユーザー用に作成したパスワードは、長さと複雑さについて特定のガイドラインに従うようになります。また、ユーザーに自分のパスワードの変更を許可するかどうかも指定できます。詳細については、IAM User Guide の「IAM パスワードポリシーを管理する」を参照してください。

ユーザーまたはグループの IAM ポリシーを作成するには

  1. AWS Explorer の [Identity and Access Management] で、[Password Policy] ノードをダブルクリックします。

  2. [Password Policy] ペインで、AWS アカウントに必要なポリシーオプションを指定し、[Apply Password Policy] をクリックします。