AWS Cloud9 は、新規顧客には利用できなくなりました。 AWS Cloud9 の既存のお客様は、通常どおりサービスを引き続き使用できます。詳細はこちら
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Cloud9 開発環境 AWS のサービス から を呼び出すことができます。たとえば、次のアクションを実行できます。
-
Amazon Simple Storage Service (Amazon S3) バケットにデータをアップロードおよびダウンロードします。
-
Amazon Simple Notification Service (Amazon SNS) トピックを通じてブロードキャスト通知を送信します。
-
Amazon DynamoDB (DynamoDB) データベースのデータの読み取り/書き込みを行う。
環境 AWS のサービス から を呼び出すには、いくつかの方法があります。たとえば、 AWS Command Line Interface (AWS CLI) または AWS CloudShell を使用して、ターミナルセッションからコマンドを実行できます。環境内で実行したコードから AWS のサービス を呼び出すこともできます。これを行うには、、JavaScript、Python、、、 Ruby PHP Goなどのプログラミング言語に AWS SDKs を使用しますC++。詳細については、「AWS CLI および aws-shell のサンプル」、AWS Command Line Interface ユーザーガイド、および AWS SDK
AWS CLI、 AWS CloudShell、またはコードが を呼び出すたびに AWS のサービス、、 AWS CLI AWS CloudShell、またはコードは、呼び出しとともに一連の AWS アクセス認証情報を提供する必要があります。これらの認証情報は、呼び出し元にその呼び出しを行う適切なアクセス許可があるかどうかを判別します。認証情報に適切な許可がない場合は、呼び出しは失敗します。
環境に認証情報を提供するには、いくつかの方法があります。次の表は、いくつかのアプローチについて説明します。
| 環境タイプ | アプローチ |
|---|---|
|
EC2 |
AWS マネージド一時認証情報を使用します。 EC2 環境では、このアプローチをお勧めします。 AWS が管理する一時的な認証情報は、ユーザーに代わって EC2 環境の AWS アクセス認証情報を管理し、 AWS セキュリティのベストプラクティスにも従います。 EC2 環境を使用している場合は、このトピックの残りの部分はスキップできます。これは、 AWS マネージド一時認証情報が 環境で既に設定されているためです。 詳細については、「AWS マネージド一時認証情報」を参照してください。 |
|
EC2 |
IAM インスタンスプロファイルをインスタンスに添付します。 このアプローチは、何らかの理由で AWS マネージド一時認証情報を使用できない場合にのみ使用します。 AWS マネージド一時認証情報と同様に、インスタンスプロファイルはユーザーに代わって AWS アクセス認証情報を管理します。ただし、インスタンスプロファイルを作成して管理し、Amazon EC2 インスタンスに自分で直接アタッチする必要があります。 手順については、「インスタンスプロファイルを作成して使用し一時認証情報を管理する」を参照してください。 |
|
EC2 または SSH |
永続的な AWS アクセス認証情報を環境内に保存します。 このアプローチは、一時的な AWS アクセス認証情報を使用するよりも安全性が低くなります。ただし、SSH 環境で唯一サポートされているアプローチです。 手順については、「環境で永続的認証情報を作成して保存する」を参照してください。 |
|
EC2 または SSH |
永続的な AWS アクセス認証情報をコードに直接挿入します。 このアプローチは、 AWS セキュリティのベストプラクティスに従っていないため、お勧めしません。 このアプローチは推奨しないため、このトピックでは説明しません。 |
インスタンスプロファイルを作成・使用しマネージド一時認証情報を管理する
注記
AWS Cloud9 SSH 開発環境では、この手順を使用できません。代わりに、「環境で永続的認証情報を作成して保存する」までスキップしてください。
インスタンスプロファイルの代わりに、 AWS マネージド一時認証情報を使用することをお勧めします。何らかの理由で AWS マネージド一時認証情報を使用できない場合にのみ、これらの手順に従ってください。詳細については、「AWS マネージド一時認証情報」を参照してください。
この手順では、IAM と Amazon EC2 を使用して、IAM インスタンスプロファイルを作成し、環境に接続する Amazon EC2 インスタンス環境にアタッチします。このインスタンスプロファイルは、ユーザーの代わりに一時認証情報を管理します。この手順は、 AWS Cloud9の環境が既に作成されていることを前提としています。環境を作成するには、「環境を作成する」を参照してください。
これらのタスクは、IAM と Amazon EC2 コンソール、またはAWS コマンドラインインターフェイス (AWS CLI) を使用して完了できます。
IAM コンソールを使用してインスタンスプロファイルを作成する
注記
インスタンスプロファイルを含む IAM ロールがすでにある場合は、この手順をスキップして、「Amazon EC2 コンソールを使用してインスタンスプロファイルをインスタンスに添付する」に進みます。
-
IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 このステップでは、 AWS アカウントの管理者レベルの認証情報使用にサインインすることをお勧めします。これが実行できない場合は、 AWS アカウント 管理者にお問い合わせください。
-
ナビゲーションバーで [ロール]を選択します。
注記
IAM コンソールを使用してインスタンスプロファイルを単独で作成することはできません。インスタンスプロファイルを含む IAM ロールを作成する必要があります。
-
[ロールの作成] を選択します。
-
[Select type of trusted entity] (信頼されたエンティティの種類を選択) ページで、AWS のサービス をすでに選択した状態にし、[Choose the service that will use this role] (このロールを使用するサービスを選択) で [EC2] を選択します。
-
[ユースケースの選択]で、[EC2]を選択します。
-
[Next: Permissions] (次へ: アクセス許可) を選択します。
-
[Attach permissions policies (アクセス権限ポリシーをアタッチする)]ページで、ポリシーのリストの[AdministratorAccess]の横のボックスを選択して、[次へ: 確認]を選択します。
注記
AdministratorAccess ポリシーは、 全体のすべての AWS アクションとリソースへの無制限のアクセスを許可します AWS アカウント。これは実験目的でのみ使用してください。詳細については、IAM ユーザーガイド の「IAM ポリシー」を参照してください。
-
[Review] (確認) ページの [Role Name] (ロール名) に、ロールの名前を入力します (例:
my-demo-cloud9-instance-profile)。 -
[ロールの作成] を選択します。
「Amazon EC2 コンソールを使用してインスタンスプロファイルをインスタンスにアタッチする」に進みます。
AWS CLIを使用してインスタンスプロファイルを作成する
注記
インスタンスプロファイルを含む IAM ロールがすでにある場合は、スキップして、AWS CLIを伴うインスタンスにインスタンスプロファイルを添付するに進みます。
このトピックでは、 で管理者レベルの認証情報 AWS CLI を使用して を設定することをお勧めします AWS アカウント。これが実行できない場合は、 AWS アカウント 管理者にお問い合わせください。
注記
AWS マネージド一時認証情報を使用している場合、IDE AWS Cloud9 のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。 AWS セキュリティのベストプラクティスに対処するために、 AWS マネージド一時認証情報では一部のコマンドを実行できません。代わりに、これらのコマンドを AWS Command Line Interface () の別のインストールから実行できますAWS CLI。
-
インスタンスプロファイルに必要な IAM ロール AWS の信頼関係を で定義します。これを行うには、次の内容のファイルを作成して保存します (例えば、
my-demo-cloud9-instance-profile-role-trust.json)。{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
ターミナルまたはコマンドプロンプトを使用して、このファイルを保存したディレクトリに切り替えます。
-
インスタンスプロファイルの IAM ロールを作成します。これを行うには、IAM
create-roleコマンドを実行します。これを行うには、新しい IAM ロールの名前 (例えば、my-demo-cloud9-instance-profile-role) と、保存したファイルの名前を指定します。aws iam create-role --role-name my-demo-cloud9-instance-profile-role --assume-role-policy-document file://my-demo-cloud9-instance-profile-role-trust.json -
インスタンスプロファイル IAM ロールにアクセス AWS 許可をアタッチします。これを行うには、IAM
attach-role-policyコマンドを実行します。既存の IAM ロールの名前と、 という名前の AWS マネージドポリシーの Amazon リソースネーム (ARN) を指定しますAdministratorAccess。aws iam attach-role-policy --role-name my-demo-cloud9-instance-profile-role --policy-arn arn:aws:iam::aws:policy/AdministratorAccess注記
AdministratorAccess ポリシーは、 全体のすべての AWS アクションとリソースへの無制限アクセスを許可します AWS アカウント。これは実験目的でのみ使用してください。詳細については、IAM ユーザーガイド の「IAM ポリシー」を参照してください。
-
インスタンスプロファイルを作成します。これを行うには、新しい IAM インスタンスプロファイルの名前を指定する IAM
create-instance-profileコマンド (たとえばmy-demo-cloud9-instance-profile) を実行します。aws iam create-instance-profile --instance-profile-name my-demo-cloud9-instance-profile -
インスタンスプロファイルに IAM ロールを添付します。これを行うには、既存の IAM ロールとインスタンスプロファイルの名を指定する IAM
add-role-to-instance-profileを実行します。aws iam add-role-to-instance-profile --role-name my-demo-cloud9-instance-profile-role --instance-profile-name my-demo-cloud9-instance-profile
AWS CLIを使用してインスタンスプロファイルを作成するに進みます。
Amazon EC2 コンソールを使用してインスタンスプロファイルをインスタンスに添付する
-
https://console.aws.amazon.com/ec2/
でAmazon EC2 コンソールにサインインします。 このステップでは、 AWS アカウントの管理者の認証情報を使用してサインインすることをお勧めします。これが実行できない場合は、 AWS アカウント 管理者にお問い合わせください。
-
ナビゲーションバーで、環境用と一致する AWS リージョン がリージョンセレクターに表示されていることを確認します。例えば、米国東部 (オハイオ) リージョンで環境を作成した場合は、このリージョンセレクターで米国東部 (オハイオ)を選択します。
-
[実行中のインスタンス]リンク、またはナビゲーションペインで [インスタンス]を展開して、[インスタンス]を選択します。
-
インスタンスのリストで、環境名を含む [名前]を持つインスタンスを選択します。たとえば、環境名が
my-demo-environmentの場合は、my-demo-environmentを含む[名前]を持つインスタンスを選択します。 -
[アクション] メニューで、[セキュリティ]、[IAM ロールの変更] の順に選択します。
注記
インスタンスにロールをアタッチしていても、ロールにはインスタンスプロファイルが含まれています。
-
[IAM ロールの変更] ページの [IAM ロール] で、確認したロール、または前の手順で作成したロールの名前を選択し、[適用] を選択します。
-
環境に戻り、 AWS CLI を使用して
aws configureコマンドを実行するか、 AWS CloudShell を使用してconfigureコマンドを実行します。[AWS アクセスキー ID] または [AWS シークレットアクセスキー] には値を指定しないでください (これらの各プロンプトの後にEnterを押します)。デフォルトリージョン名には、最も AWS リージョン 近い または AWS リソースがあるリージョンを指定します。たとえば、米国東部 (オハイオ) リージョンの場合は、us-east-2を使用します。リージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS リージョン とエンドポイント」を参照してください。オプションで、[Default output format (デフォルト出力形式)]の値を指定します (jsonなど)。
環境 AWS のサービス から の呼び出しを開始できるようになりました。 AWS CLI、、aws-shellまたはその両方を使用して を呼び出すには AWS のサービス、AWS CLI 「」および「aws-shell サンプル」を参照してください。コードから AWS のサービス を呼び出すには、他のチュートリアルとサンプルを参照してください。
を使用してインスタンスプロファイルをインスタンスにアタッチする AWS CLI
注記
AWS マネージド一時認証情報を使用している場合、IDE AWS Cloud9 のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。 AWS セキュリティのベストプラクティスに対処するために、 AWS マネージド一時認証情報では一部のコマンドを実行できません。代わりに、これらのコマンドを AWS Command Line Interface () の別のインストールから実行できますAWS CLI。
-
Amazon EC2
associate-iam-instance-profileコマンドを実行します。インスタンスプロファイルの名前と、環境の Amazon EC2 インスタンスの ID と AWS リージョン ID を指定します。aws ec2 associate-iam-instance-profile --iam-instance-profile Name=my-demo-cloud9-instance-profile --region us-east-2 --instance-id i-12a3b45678cdef9a0上記のコマンドでは、
us-east-2をインスタンスの AWS リージョン ID で置き換え、i-12a3b45678cdef9a0をインスタンス ID で置き換えます。インスタンスの ID を取得するには、例えば、Amazon EC2
describe-instancesコマンドを実行して環境の名前と AWS リージョン ID を指定します。aws ec2 describe-instances --region us-east-2 --filters Name=tag:Name,Values=*my-environment* --query "Reservations[*].Instances[*].InstanceId" --output text上記のコマンドでは、
us-east-2をインスタンスの AWS リージョン ID で置き換え、my-environmentを環境の名前で置き換えます。 -
環境に戻り、 AWS CLI を使用して
aws configureコマンドを実行するか、 aws-shellを使用してconfigureコマンドを実行します。[AWS Access Key ID] (アクセスキー ID)または[AWS Secret Access Key] (シークレットアクセスキー)には値を指定しないでください。これらの各プロンプトが表示されたら、Enterを押します。デフォルトリージョン名には、最も近い または AWS リソースがあるリージョンを指定します AWS リージョン 。たとえば、米国東部 (オハイオ) リージョンの場合は、us-east-2を使用します。リージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS とエンドポイント」を参照してください。オプションで、[Default output format (デフォルト出力形式)]の値を指定します (jsonなど)。
環境 AWS のサービス から の呼び出しを開始できるようになりました。 AWS CLI、、aws-shellまたはその両方を使用して を呼び出すには AWS のサービス、AWS CLI 「」および「aws-shell サンプル」を参照してください。コードから AWS のサービス を呼び出すには、他のチュートリアルとサンプルを参照してください。
環境に永続的アクセス認証情報を作成して保存する
注記
AWS Cloud9 EC2 開発環境を使用している場合は、 AWS 永続的なアクセス認証情報ではなく、 AWS マネージド一時認証情報を使用することをお勧めします。 AWS マネージド一時認証情報を使用するには、「」を参照してくださいAWS マネージド一時認証情報。
このセクションでは、 AWS Identity and Access Management (IAM) を使用して永続的な認証情報のセットを生成します。 AWS CLI、aws-shell、またはコードは、 を呼び出すときにこの認証情報のセットを使用できます AWS のサービス。このセットには、 AWS アクセスキー ID とシー AWS クレットアクセスキーが含まれます。これは、 のユーザーに固有のものです AWS アカウント。アクセスキー ID と AWS シークレットアクセスキーが AWS 既にある場合は、それらの認証情報を書き留めて、「環境に永続的アクセス認証情報を保存する」に進みます。
永続的認証情報のセットは、IAM コンソールまたは AWS CLI を使用して作成できます。
プログラマチックアクセス権を付与する
ユーザーが の AWS 外部とやり取りする場合は、プログラムによるアクセスが必要です AWS Management Console。プログラムによるアクセスを許可する方法は、 がアクセスするユーザーのタイプによって異なります AWS。
ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。
| プログラマチックアクセス権を必要とするユーザー | 目的 | 方法 |
|---|---|---|
|
ワークフォースアイデンティティ (IAM アイデンティティセンターで管理されているユーザー) |
一時的な認証情報を使用して、 AWS CLI、 AWS SDKs、または AWS APIs。 |
使用するインターフェイスの指示に従ってください。
|
| IAM | 一時的な認証情報を使用して、 AWS CLI、 AWS SDKs、または AWS APIs。 | 「IAM ユーザーガイド」の「 AWS リソースでの一時的な認証情報の使用」の手順に従います。 |
| IAM | (非推奨) 長期認証情報を使用して、 AWS CLI、 AWS SDKs、または AWS APIs。 |
使用するインターフェイスの指示に従ってください。
|
を使用して永続的なアクセス認証情報を作成する AWS CLI
注記
このセクションでは、 で管理者レベルの認証情報 AWS CLI を使用して を設定することをお勧めします AWS アカウント。これができない場合は、 AWS アカウント 管理者に確認してください。
注記
AWS マネージド一時認証情報を使用している場合、IDE AWS Cloud9 のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。 AWS セキュリティのベストプラクティスに対処するために、 AWS マネージド一時認証情報では一部のコマンドを実行できません。代わりに、これらのコマンドを AWS Command Line Interface () の別のインストールから実行できますAWS CLI。
IAM create-access-key コマンドを実行して、ユーザーの新しい AWS アクセスキーと対応する AWS シークレットアクセスキーを作成します。
aws iam create-access-key --user-name MyUser
前述のコマンドでは、MyUser をユーザーの名前に置き換えます。
表示される AccessKeyId と SecretAccessKey の値を安全な場所に保存します。IAM create-access-key コマンドを実行した後、 を使用して AWS CLI ユーザーの AWS シークレットアクセスキーを表示できるのは、このときだけです。必要に応じて後でユーザーの新しい AWS シークレットアクセスキーを生成するには、IAM ユーザーガイドの「アクセスキーの作成、変更、表示 (API、CLI、PowerShell)」を参照してください。
環境に永続的アクセス認証情報を保存する
この手順では、IDE AWS Cloud9 を使用して永続的な AWS アクセス認証情報を環境に保存します。この手順では、 で環境を既に作成し AWS Cloud9、環境を開いて、ウェブブラウザに AWS Cloud9 IDE を表示していることを前提としています。詳細については、「環境を作成する」と「環境を開く」を参照してください。
注記
次の手順では、環境変数を使用して永続的なアクセス認証情報を保存する方法を示します。 AWS CLI または が環境にaws-shellインストールされている場合は、 の aws configure コマンド AWS CLI を使用するか、 の configure コマンドを使用して永続的なアクセス認証情報aws-shellを保存できます。指示については、AWS Command Line Interface ユーザーガイドの「クイック設定」を参照してください。
-
環境を開いた状態で、IDE AWS Cloud9 で新しいターミナルセッションがまだ開始されていない場合は、新しいターミナルセッションを開始します。新しいターミナルセッションを開始するには、メニューバーで、[Window (ウィンドウ)]、[New Terminal (新しいターミナル)]の順に選択します。
-
一度に 1 つのコマンドを実行して、永続的なアクセス認証情報を表すローカル環境変数を設定します。これらのコマンドで、 の後に AWS アクセスキー ID
AWS_ACCESS_KEY_ID:を入力します。の後にAWS_SECRET_ACCESS_KEY、 AWS シークレットアクセスキーを入力します。の後にAWS_DEFAULT_REGION_ID、最も AWS リージョン 近い (または任意の) に関連付けられた AWS リージョン 識別子を入力します AWS リージョン。利用可能な識別子の一覧については、「Amazon Web Services 全般のリファレンス」の「AWS リージョン とエンドポイント」を参照してください。たとえば、米国東部 (オハイオ) の場合は、us-east-2を使用します。export AWS_ACCESS_KEY_ID= export AWS_SECRET_ACCESS_KEY= export AWS_DEFAULT_REGION= -
前述の環境変数は、ターミナルセッションにおいてのみ有効になります。これらの環境変数をターミナルセッション間で利用できるようにするには、以下のように、それらをユーザー環境変数としてシェルプロファイルファイルに追加する必要があります。
-
IDE の[Environment (環境)]ウィンドウで歯車アイコンを選択し、[Show Home in Favorites (お気に入りのホームを表示する)]を選択します。このステップを繰り返して、[Show Hidden Files (隠しファイルを表示する)]も同様に選択します。
-
~/.bashrcファイルを開きます。 -
ファイルの末尾に次のコードを入力するか貼り付けます。これらのコマンドで、 の後に AWS アクセスキー ID
AWS_ACCESS_KEY_ID:を入力します。の後にAWS_SECRET_ACCESS_KEY、 AWS シークレットアクセスキーを入力します。の後にAWS_DEFAULT_REGION_ID、最も AWS リージョン 近い (または任意の) に関連付けられた識別子を入力します AWS リージョン AWS リージョン。利用可能な識別子の一覧については、「Amazon Web Services 全般のリファレンス」の「AWS リージョン とエンドポイント」を参照してください。たとえば、米国東部 (オハイオ) の場合は、us-east-2を使用します。export AWS_ACCESS_KEY_ID= export AWS_SECRET_ACCESS_KEY= export AWS_DEFAULT_REGION= -
ファイルを保存します。
-
~/.bashrcファイルにこれらの新しい環境変数をロードします。. ~/.bashrc
-
環境 AWS のサービス から の呼び出しを開始できるようになりました。 AWS CLI または を使用して aws-shell を呼び出すには AWS のサービス、AWS CLI 「」および「aws-shell のサンプル」を参照してください。コードから AWS のサービス を呼び出すには、他のチュートリアルとサンプルを参照してください。
