Identity and Access Management - AWS Toolkit for Visual Studio
IAM ユーザーを作成して設定するIAM グループを作成するIAM グループに IAM ユーザーを追加するIAM ユーザーの認証情報を生成するIAM ロールを作成します。IAM ポリシーの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Identity and Access Management

AWS Identity and Access Management(IAM) を利用すると、へのアクセスを、より安全に管理することができますAWS アカウントとリソース。IAM を使用すると、プライマリに複数のユーザーを作成できます (ルート)AWS アカウント。これらのユーザーは自分の認証情報 (パスワード、アクセスキー ID、およびシークレットキー) を持つことができますが、すべての IAM ユーザーは 1 つのアカウント番号を共有します。

ユーザーに IAM ポリシーをアタッチして、各 IAM ユーザーのリソースアクセスのレベルを管理することができます。たとえば、Amazon S3 サービスおよびアカウントの関連リソースへのユーザーアクセスを付与するポリシーを IAM ユーザーにアタッチすることができますが、他のサービスまたはリソースへのアクセスはできません。

より効率的なアクセス管理を行うためには、ユーザーの集合である、IAM グループを作成できます。グループにポリシーをアタッチすると、そのグループのメンバーであるすべてのユーザーに反映されます。

IAM は、ユーザーおよびグループレベルでのアクセス許可の管理に加えて、IAM ロールの概念もサポートしています。ユーザーおよびグループと同様に、IAM ロールにポリシーをアタッチすることができます。その後、IAM ロールを Amazon EC2 インスタンスに関連付けることができます。EC2 インスタンス上で実行されるアプリケーションは、アクセスすることができますAWSIAM ロールが提供するアクセス権限を使用します。ツールキットでの IAM ロールの使用の詳細については、「IAM ロールの作成」を参照してください。IAM の詳細については、を参照してくださいIAM ユーザーガイド

IAM ユーザーを作成して設定する

IAM ユーザーを使うと、他のユーザーにAWS アカウント。IAM ユーザーにポリシーをアタッチすることができるため、IAM ユーザーがアクセスできるリソースおよびそれらのリソースに実行できる操作を正確に制限することができます。

ベストプラクティスとして、にアクセスするすべてのユーザーがAWS アカウントIAM ユーザーとしてアクセスする必要があります。アカウントの所有者についても同様です。これにより、IAM ユーザーのうちの 1 人の認証情報が漏洩した場合でも、それらの認証情報のみを非アクティブ化することができます。アカウントのルート認証情報を非アクティブ化または変更する必要はありません。

Toolkit for Visual Studio では、ユーザーにアクセス許可を割り当てるには、ユーザーに IAM ポリシーをアタッチするか、ユーザーをグループに割り当てます。グループに割り当てた IAM ユーザーは、グループにアタッチされているポリシーからアクセス許可を引き継ぎます。詳細については、「IAM グループを作成する」と「IAM グループに IAM ユーザーを追加する」を参照してください。

Toolkit for Visual Studio から、生成することもできますAWSIAM ユーザーの認証情報 (アクセスキー ID とシークレットキー) 詳細については、「IAM ユーザーの認証情報を生成する」を参照してください。

Toolkit for Visual Studio では、を使用してサービスにアクセスするための IAM ユーザー認証情報の指定がサポートされています。AWSExplorer IAM ユーザーは通常、すべてのAmazon Web Services へのフルアクセスができないため、AWSExplorer は使用できない可能性があります。!AWSアクティブアカウントが IAM ユーザーであるときに Explorer を使用してリソースを変更して、次にアクティブアカウントをルートアカウントに切り替える場合には、で表示を更新するまで変更が表示されない場合があります。AWSExplorer 表示を更新するには、[Refresh (更新)] ボタンを選択します。

から IAM ユーザーを設定する方法については、を参照してくださいAWS Management Console[]、[] に移動しますユーザーおよびグループの使用IAM ユーザーガイド

IAM ユーザーを作成するには

  1. EclipseAWSエクスプローラ、AWS Identity and Access Management[] ノードで、[] のコンテキスト (右クリック) メニューを開きますユーザー[] を選択して [] を選択しますユーザーの作成

  2. ユーザーの作成ダイアログボックスで、IAM ユーザーの名前を入力して [] を選択します。OK。これがIAMフレンドリネーム。IAM ユーザー名の制約については、「IAM ユーザーガイド

    Create an IAM user

新しいユーザーは [] の下にサブノードとして表示されます。ユーザーAWS Identity and Access Managementノード。

ポリシーを作成してユーザーにアタッチする方法については、「IAM ポリシーを作成する」を参照してください。

IAM グループを作成する

グループは、IAM ポリシーをユーザーの集合に適用する方法を提供します。IAM ユーザーおよびグループを管理する方法の詳細については、「」を参照してください。ユーザーおよびグループの使用IAM ユーザーガイド

IAM グループを作成するには

  1. EclipseAWSExplorerIdentity and Access Management[] で、[] のコンテキスト (右クリック) メニューを開きますGroupsを選択しグループの作成

  2. グループの作成ダイアログボックスで、IAM グループの名前を入力して [] を選択します。OK

    Create IAM group

新しい IAM グループがGroupsのサブノードIdentity and Access Management

ポリシーを作成して IAM グループにアタッチする方法については、「」を参照してください。IAM ポリシーの作成

IAM グループに IAM ユーザーを追加する

IAM グループのメンバーである IAM ユーザーは、グループにアタッチされているポリシーからアクセス許可を引き継ぎます。IAM グループの目的は、IAM ユーザーの集合全体のアクセス許可の管理を容易にすることです。

IAM グループにアタッチされたポリシーが、その IAM グループのメンバーである IAM ユーザーにアタッチされたポリシーと連携する方法の詳細については、「」を参照してください。IAM ユーザーガイドの IAM ポリシーの管理

EclipseAWSエクスプローラーでは、IAM ユーザーを IAM グループに追加するにはユーザーサブノードではなくGroupsサブノード。

IAM グループに IAM ユーザーを追加するには

  1. EclipseAWSExplorerIdentity and Access Management[] で、[] のコンテキスト (右クリック) メニューを開きますユーザーを選択し編集

    Assign an IAM user to a IAM group

  2. [] の左ペインGroupsタブには、使用可能な IAM グループが表示されます。右側のペインには、指定された IAM ユーザーがすでにメンバーであるグループが表示されます。

    IAM ユーザーをグループに追加するには、左側のペインで、IAM グループを選択し、>[] ボタン。

    グループから IAM ユーザーを削除するには、右側のペインで、IAM グループを選択し、<[] ボタン。

    IAM ユーザーをすべての IAM グループに追加するには、>>[] ボタン。同様に、IAM ユーザーをすべてのグループから削除するには、[<<[] ボタン。

    複数のグループを選択するには、それらを順に選択します。コントロールキーを押しながら選択する必要はありません。グループを選択からクリアするには、再度選択します。

  3. IAM ユーザーの IAM グループへの割り当てが完了したら、[] を選択します。保存

IAM ユーザーの認証情報を生成する

Toolkit for Visual Studio を使用すると、への API 呼び出しを実行するために使用する、アクセスキー ID とシークレットキーを生成することができます。AWS。これらのキーは、ツールキットを使ってAmazon Web Services にアクセスするために指定することもできます。Toolkit 用に認証情報を指定する方法については、「認証情報」を参照してください。認証情報の安全な処理の詳細については、「」を参照してください。管理のベストプラクティスAWSアクセスキー

ツールキットは、IAM ユーザーのパスワードを生成するために使用することはできません。

IAM ユーザーの認証情報を生成するには

  1. EclipseAWSExplorer で IAM ユーザーのコンテキスト (右クリック) メニューを開き、[編集

  2. 認証情報を生成するには、[Access Keys (アクセスキー)] タブで、[Create (作成)] を選択します。

    IAM ユーザーごとに 2 セットのみの認証情報を生成できます。2 セットの認証情報がすでにあり、追加のセットを作成する必要がある場合は、既存のセットのいずれかを削除する必要があります。

    reate credentials for IAM user

    ツールキットでシークレットアクセスキーの暗号化済みコピーをローカルドライブに保存する場合は、シークレットアクセスキーをローカルに保存します。AWS作成されたときにシークレットアクセスキーのみを返します。ダイアログボックスからシークレットアクセスキーをコピーして、それを安全な場所に保存することもできます。

  3. [OK] をクリックします。

認証情報を生成した後、それを [Access Keys (アクセスキー)] タブから表示できます。ツールキットでシークレットキーをローカルに保存するオプションを選択した場合は、ここに表示されます。

Create credentials for IAM user

自分でシークレットキーを保存した場合で、ツールキットでもそれを保存する場合は、[Secret Access Key (シークレットアクセスキー)] ボックスにシークレットアクセスキーを入力し、[Save the secret access key locally (シークレットアクセスキーをローカルに保存)] を選択します。

認証情報を無効化するには、[Make Inactive (無効化)] を選択します。(認証情報の漏洩が疑われる場合は、これを実行します。) 認証情報が安全であることが確認できたら、再アクティブ化することができます。

IAM ロールを作成します。

Toolkit for Visual Studio では、IAM ロールの作成および設定をサポートしています。ユーザーおよびグループと同様に、IAM ロールにポリシーをアタッチすることができます。その後、IAM ロールを Amazon EC2 インスタンスに関連付けることができます。EC2 インスタンスとの関連付けは、インスタンスプロファイルを介して処理されます。これはロールの論理コンテナです。EC2 インスタンスで実行されるアプリケーションは、IAM ロールに関連付けられたポリシーによって指定されるアクセスのレベルを自動的に付与されます。これは、アプリケーションが他を指定していない場合にもあてはまります。AWS認証情報。

たとえば、ロールを作成して、Amazon S3 のみへのアクセスに制限するポリシーをそのロールにアタッチできます。このロールを EC2 インスタンスに関連付けた後、そのインスタンスでアプリケーションを実行すると、アプリケーションは Amazon S3 にアクセスできますが、他のサービスまたはリソースにはアクセスできません。この方法の利点は、安全に転送して保存することを心配する必要がないことです。AWSEC2 インスタンスの認証情報。

IAM ロールの詳細については、「」を参照してください。IAM ユーザーガイドの IAM ロールの使用。アクセスするプログラムの例AWSAmazon EC2 インスタンスに関連付けた IAM ロールを使用して、AWS開発者ガイドJava,.NET,PHP、Ruby (IAM を使用して認証情報を設定する,IAM ロールの作成, およびIAM ポリシーの使用).

IAM ロールを作成するには

  1. EclipseAWSExplorerIdentity and Access Management[] で、[] のコンテキスト (右クリック) メニューを開きますロール[] を選択して [] を選択しますロールの作成

  2. ロールの作成ダイアログボックスで、IAM ロールの名前を入力して [] を選択します。OK

    Create IAM role

新しい IAM ロールは、ロールIdentity and Access Management

ポリシーを作成してロールにアタッチする方法については、「IAM ポリシーを作成する」を参照してください。

IAM ポリシーの作成

IAM にとってポリシーが重要です。ポリシーを IAM に関連付けることができますエンティティユーザー、グループ、ロールなどがあります。ポリシーによって、ユーザー、グループ、またはロールに対して有効にする、アクセスのレベルを指定できます。

IAM ポリシーを作成するには

EclipseAWSエクスプローラ、AWS Identity and Access Managementノードを選択し、エンティティのタイプ () のノードを展開します。Groups,ロール, またはユーザー) にポリシーを添付します。たとえば、IAM ロールのコンテキストメニューを開き、[] を選択します。編集

ロールに関連付けられたタブが [AWSExplorer [Add Policy (ポリシーの追加)] リンクを選択します。

[New Policy Name (新しいポリシー名)] ダイアログボックスで、ポリシーの名前 (たとえば s3-access) を入力します。

New Policy Name dialog box

ポリシーエディタで、ポリシーステートメントを追加して、ロールに提供するアクセスレベルを指定します (この例では、ポリシーに関連付けられている winapp-instance-role-2 です)。この例では、ポリシーは Amazon S3 へのフルアクセスを提供しますが、他のリソースへのアクセスはできません。

Specify IAM policy

より正確なアクセス制御には、ポリシーエディタでサブノードを展開して、Amazon Web Services に関連付けられたアクションを許可または拒否します。

ポリシーを編集したら、[Save (保存)] リンクを選択します。