AWS CDKCLI のセキュリティ認証情報を設定する - AWS Cloud Development Kit (AWS CDK) v2
前提条件セキュリティ認証情報の設定方法IAM Identity Center ユーザーのセキュリティ認証情報の設定と管理IAM ユーザーのセキュリティ認証情報の設定と管理追加情報

これは AWS CDK v2 開発者ガイドです。旧版の CDK v1 は 2022 年 6 月 1 日にメンテナンスを開始し、2023 年 6 月 1 日にサポートを終了しました。

AWS CDKCLI のセキュリティ認証情報を設定する

AWS Cloud Development Kit (AWS CDK) を使用してローカル環境でアプリケーションを開発する場合、主に AWS CDK コマンドラインインターフェイス (AWS CDK CLI) を使用して AWS を操作します。たとえば、CDK CLI を使用してアプリケーションをデプロイしたり、AWS 環境からリソースを削除したりできます。

CDK CLI を使用して AWS を操作するには、ローカルマシンでセキュリティ認証情報を設定する必要があります。これにより、AWS に自分が誰であり、どのようなアクセス許可を持っているかを知らせることができます。

セキュリティ認証情報の詳細については、IAM ユーザーガイド「AWS IAM ユーザーガイド」を参照してください。

前提条件

セキュリティ認証情報の設定は、使用開始の手順の一部です。「AWS CDK の開始方法」で、前提条件とこれまでの手順をすべて完了させてください。

セキュリティ認証情報の設定方法

セキュリティ認証情報の設定方法は、ユーザーまたは組織がユーザーを管理する方法によって異なります。AWS Identity and Access Management (IAM) と AWS IAM Identity Center のどちらを使用する場合でも、CDK CLI のセキュリティ認証情報の設定および管理には、AWS Command Line Interface (AWS CLI) を使用することをおすすめします。これには、aws configure などの AWS CLI コマンドを使用して、ローカルマシンのセキュリティ認証情報を設定することなどが含まれます。ただし、config ファイルや credentials ファイルの手動更新や、環境変数の設定など、代替方法を使用することもできます。

AWS CLI を使用したセキュリティ認証情報の設定に関するガイダンスや、異なる方法を使用する場合の設定や認証情報の優先順位については、「AWS Command Line Interface ユーザーガイド」の「認証とアクセス認証情報」を参照してください。CDK CLI は、AWS CLI と同じ設定と認証情報の優先順位に従います。--profile コマンドラインオプションは、環境変数よりも優先されます。AWS_PROFILECDK_DEFAULT_PROFILE の両方の環境変数を設定している場合、AWS_PROFILE の環境変数が優先されます。

複数のプロファイルを設定する場合は、任意のコマンドで CDK CLI の --profile オプションを使用して、認証に使用する credentials ファイルや config ファイルからプロファイルを指定できます。--profile を指定しない場合、default プロファイルが使用されます。

セキュリティ認証情報などの基本設定をすばやく設定する場合は、「AWS Command Line Interface ユーザーガイド」の「AWS CLI のセットアップ」を参照してください。

ローカルマシンでセキュリティ認証情報を設定したら、CDK CLI を使用して AWS を操作できます。

IAM Identity Center ユーザーのセキュリティ認証情報の設定と管理

IAM Identity Center ユーザーは、IAM Identity Center で認証することも、短期認証情報を使用して手動で認証することもできます。

IAM Identity Center で認証して短期認証情報を生成する

AWS CLI を設定して、IAM Identity Center で認証するようにできます。これは、IAM Identity Center ユーザーのセキュリティ認証情報を設定する際に推奨されるアプローチです。IAM Identity Center ユーザーは、AWS CLI の aws configure ssoウィザードを使用して、IAM Identity Center プロファイルと sso-session を設定でき、これらはローカルマシンの config ファイルに保存されます。手順については、AWS Command Line Interface ユーザーガイド「AWS IAM Identity Center を使用するように AWS CLI を設定する」を参照してください。

次に、AWS CLI の aws sso login コマンドを使用して、更新された認証情報をリクエストできます。このコマンドを使用して、プロファイルを切り替えることもできます。手順については、AWS Command Line Interface ユーザーガイドの「IAM Identity Center の名前付きプロファイルを使用する」を参照してください。

認証されると、セッション期間中は、CDK CLI を使用して AWS を操作できます。例については、「例: AWS CDKCLI で使用する IAM Identity Center 自動トークン更新による認証」を参照してください。

短期認証情報を手動で設定する

AWS CLI を使用して IAM Identity Center で認証を行う代わりに、IAM Identity Center ユーザーは AWS Management Console から短期認証情報を取得し、credentials ファイルと config ファイルを手動でローカルマシンに設定することができます。設定後は、認証情報の有効期限が切れるまでは、CDK CLI を使用して AWS を操作できます。手順については、「AWS Command Line Interface ユーザーガイド」の「短期認証情報による認証」を参照してください。

IAM ユーザーのセキュリティ認証情報の設定と管理

IAM ユーザーは、CDK CLI で IAM ロールまたは IAM ユーザー認証情報を使用できます。

IAM ロールを使用して短期認証情報を設定する

IAM ユーザーは IAM ロールを引き受けることで、追加の (または別の) アクセス許可を取得することができます。IAM ユーザーの場合、これにより短期的な認証情報が提供されるため、推奨されるアプローチになります。

まず、IAM ロールとロールを引き受けるユーザーのアクセス許可を設定する必要があります。これは通常、AWS Management Console または AWS CLI を使用して管理者が実行します。次に、IAM ユーザーは AWS CLI を使用してロールを引き受け、ローカルマシンで短期認証情報を設定できます。手順については、AWS Command Line Interface ユーザーガイド「AWS CLI で IAM ロールを使用する」を参照してください。

IAM ユーザー認証情報を使用する

警告

IAM ユーザー認証情報は長期的なアクセスを提供するため、セキュリティリスク回避の観点から、これの使用はおすすめしません。長期認証情報を使用する必要がある場合は、IAM セキュリティのベストプラクティスとして、アクセスキーを更新することをおすすめします。

IAM ユーザーは、AWS Management Console からアクセスキーを取得できます。その後、AWS CLI を使用して、ローカルマシンで長期的な認証情報を設定できます。手順については、AWS Command Line Interface ユーザーガイドの「IAM ユーザー認証情報による認証」を参照してください。

追加情報

AWS にサインインするさまざまな方法については、ユーザーの種類に応じて、AWS サインインユーザーガイド「AWS サインインとは」を参照してください。

AWS CLI を含む AWS SDKs およびツールを使用する際のリファレンス情報については、「AWSSDKs およびツールのリファレンスガイド」を参照してください。