IAM ロールを作成する

はじめに

こんにちは、missi です。「AWS 環境に WordPress をなるべくお金をかけずに構築していく」のシリーズとして記事を書いています。このシリーズでは、「AWS 上に WordPress を構築するために必要なリソースを最小限に抑え、コストを抑える方法について」お届けしています。前回は「VPC を作成する」をテーマにお伝えしましたが、今回は「IAM ロールを作成する」をテーマにご紹介したいと思います。

IAMロールについて

AWS Identity and Access Management (IAM) ロールは、AWS 上でアクセス制御を管理するための重要な仕組みです。

IAM ロールを使用することで、AWS リソースにアクセスするユーザーやアプリケーションに対してセキュアな認証情報を提供し、アクセス権限を管理して AWS リソースのセキュリティを強化することができます。

IAM ロールの特徴

IAM ロールのおもな特徴は以下のとおりです。

  1. アクセス許可の管理
    IAM ロールは AWS リソースへのアクセスを許可するためのアクセス許可(ポリシー)を持ちます。これにより IAM ロールを付与することで、ロールに関連するアクセス許可を持つエンティティ(ユーザー、グループ、他のサービスなど)が、ロールにアタッチされた AWS サービスやリソースにアクセスできます。
  2. 認証によるアクセス
    IAM ロールは IAMユーザーまたは AWS サービスによってアサインされた場合にのみ使用できます。ロール自体は直接 AWS コンソールにログインすることはできません。IAM ロールを使うためには IAM ユーザーや他のサービスがロールをアサインし、そのアサインされたエンティティが特定の条件を満たす場合にロールのアクセス許可が付与されます。
  3. 一時的な資格情報
    IAM ロールには一時的なセキュリティ認証情報を取得するための一時的な資格情報(一時的なセキュリティトークン)を提供することができます。これにより、一時的なセッションを使用して AWS リソースにアクセスすることが可能となり、セキュリティが向上します。
  4. クロスアカウントアクセス
    IAM ロールは異なる AWS アカウント間のリソースへのアクセスを可能にするために使用できます。これにより、アカウント間のリソース共有をセキュアに実現することができます。
  5. 組織単位でのポリシーの一元管理
    IAM ロールにはポリシーが関連付けられていますが、これらのポリシーは AWS アカウント全体で一元管理されます。これにより、セキュリティポリシーを一元的に管理でき、運用が簡素化されます。

IAM ロールを作成する

セッションマネージャーと RunCommand を許可する

今回は EC2 にセッションマネージャー (AWS Systems Manager Session Manager) と Run Command (AWS Systems Manager Run Command) での操作を許可するための IAM ロールを作成します。

ポリシーの作成

  1. AWS Management Console にサインインして IAM コンソールを開きます。
  2. ナビゲーションペイン [ポリシー] を選択し、次に [ポリシーを作成] を選択します。
  3. [JSON] タブを選択します。
  4. 「ポリシーエディタ」の内容を次の内容に置き換えます。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssm:SendCommand",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}
  1. [次へ] を選択します。
  2. 「確認して作成」ページで、ポリシー名と説明を入力し [ポリシーの作成] を選択します。

ロールの作成

  1. IAM コンソールを開きナビゲーションペイン [ロール] を選択して [ロールの作成] を選択します。
  2. 「信頼されたエンティティを選択」のページで、以下を選択して [次へ] を選択します。
    • 信頼されたエンティティ: AWS のサービス
    • ユースケース: EC2
  3. 「許可を追加」のページで、前項で作成したポリシーをチェックして [次へ] を選択します。
  4. 「名前、確認、および作成」ページで、ロール名、説明を入力して [ロールの作成] を選択します。

おわりに

今回の記事は以上となります。このシリーズでは、「AWS 環境に WordPress をなるべくお金をかけずに構築していく」をお届けしていますので、ぜひ過去の記事もご覧ください。

関連記事

  1. セキュリィグループを作成する
  2. Amazon EC2 で Amazon Linux 2 を起動する
  3. EC2 に構築した WordPress から AWS SES を使ってメールを送信する (前半)
  4. EC2 に構築した WordPress から AWS SES を使ってメールを送信する (後半)

投稿日

カテゴリー:

,

投稿者:

missi

タグ:

, , , , , ,