Amazon Cloud Directory での Identity and Access Management - Amazon Cloud Directory
Authenticationアクセスコントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cloud Directory での Identity and Access Management

Amazon Cloud Directory へのアクセスには、AWS によってリクエストの認証に使用される認証情報が必要です。これらの認証情報を取得したユーザーに、AWS リソースにアクセスするためのアクセス権限を付与する必要があります。以下のセクションでは、使用方法について詳しく説明します。AWS Identity and Access Management (IAM)およびCloud Directory を使用して、リソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護できます。

Authentication

AWS にアクセスできるアイデンティティのタイプは以下のとおりです。

  • AWS アカウントのルートユーザー - AWS アカウントを初めて作成する場合は、このアカウントのすべての AWS のサービスとリソースに対して完全なアクセス許可を持つシングルサインインアイデンティティで始めます。このアイデンティティは root ユーザーと呼ばれ、AWS アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスされます。強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、root ユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。

  • IAM ユーザーIAM ユーザーは、特定のカスタム権限 (たとえば、Cloud Directory にディレクトリを作成するアクセス権限) を持つ AWS アカウント内のアイデンティティです。IAM のユーザー名とパスワードを使用して、AWS マネジメントコンソールAWS ディスカッションフォーラムAWS サポートセンターなどのセキュリティ保護された AWS ウェブページにサインインできます。

     

    ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを生成することもできます。複数の SDK の 1 つを通してまたは AWS コマンドラインインターフェイス (CLI) を使用して、プログラムで AWS のサービスにアクセスするときに、これらのキーを使用します。SDK と CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。Cloud Directory署名バージョン 4は、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、」署名バージョン 4 の署名プロセス()AWS 全般のリファレンス

     

  • IAM ロール - IAM ロールは、アカウントで作成して特定のアクセス許可を付与できる IAM アイデンティティです。IAM ロールは、AWS でできることとできないことを決定するのが、アクセス許可ポリシーを伴う AWS アイデンティティであるという点で IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。IAM ロールと一時的な認証情報は、次の状況で役立ちます。

     

    • フェデレーティッドユーザーアクセス - ユーザーを作成するのではなく、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーの既存のユーザーアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、」フェデレーティッドユーザーとロール()IAM ユーザーガイド

       

    • AWS のサービスへのアクセス - サービスロールは、サービスがお客様に代わってお客様のアカウントでアクションを実行するために引き受ける IAM ロールです。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「」を参照してください。AWS のサービスにアクセス許可を委任するロールの作成()IAM ユーザーガイド

       

    • Amazon EC2 で実行されているアプリケーション - EC2 インスタンスで実行され、AWS CLI または AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理するには、IAM ロールを使用します。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、「」を参照してください。IAM ロールを使用して、Amazon EC2 インスタンスで実行されるアプリケーションにアクセス許可を付与する()IAM ユーザーガイド

アクセスコントロール

有効な認証情報があればリクエストを認証できますが、許可を持っていないかぎり Cloud Directory リソースの作成やアクセスはできません。たとえば、Amazon Cloud Directory を作成するにはアクセス権限が必要です。

以下のセクションでは、Cloud Directory のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。