SAA学習-IAM-IAMロールへのポリシー適用
今回のテーマ:IAMロールへのポリシー適用
IAMロールの使用目的
IAMロールを設定する場面は、バッチ連携やAPI連携時などで付与します。
今回はサンプル事例となりますので、ケースとして以下の条件になります。
| 要件 | 必要な対処概要 |
|---|---|
| EC2インスタンスがバッチ処理でS3にデータ保存 | EC2インスタンスにS3へのアクセス権限を設定 |
また、今回の構成図は以下のようにないrます。
実際の操作
- EC2を作成は本編と違うため割愛します。
IAMロールの作成
- IAMのダッシュボード-アクセス管理-ポリシーの順に選択し、ポリシーの作成をクリック
- 以下の設定を選択したら、次のステップ:タグを選択
| 設定項目 | 設定値 |
|---|---|
| サービス | S3 |
| アクション | 手動のアクション、*(すべてのアクション) |
| リソース | すべてのリソース |
| リクエスト条件 | なし |
該当するポリシーのJSONは以下のようになります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
- タグは追加せず、次のステップ:確認をクリック
- 名称と説明に「S3Allow」と記載したら、ポリシーの作成をクリック
cf)以前作成していたものがの残っている場合、画面のようにエンティティが存在してますと表示されます。
その場合は名称を変更するか削除して作り直すとよいです。
- ポリシー作成後、アクセス管理-ロール-ロールの作成をクリック
補足:
ロールの適用範囲はAWSサービスへ適用する制限だけではなくGoogleなどのウェブIDや ADと連携するための統合認証のSAML2.0フェデレーションの許可を有効にする
- 先程作ったS3Allowというポリシーにチェックを入れ、次のステップ:タグをクリック
- タグの指定は不要なのでそのまま、次のステップ:確認をクリック
- ロール名を指定したら、ロールの作成をクリック
ここまでがロール作成なので作成したロールをEC2へ付与します。
IAMロールのEC2への適用
- IAMロールを適用したいインスタンスを選択したら、アクション-セキュリティ-IAMロールを変更の順に変更します。
- 先程作ったIAMロールを選択し保存をクリックします。
- ここからが適用後の確認
- インスタンスへログイン出来たら以下コマンドでS3にアクセスできるか確認
実行コマンド:
aws s3 ls
実際の結果:
今回のテーマは以上です。
