SAA学習-IAM-IAMロールへのポリシー適用
今回のテーマ:IAMロールへのポリシー適用
IAMロールの使用目的
IAMロールを設定する場面は、バッチ連携やAPI連携時などで付与します。
今回はサンプル事例となりますので、ケースとして以下の条件になります。
要件 | 必要な対処概要 |
---|---|
EC2インスタンスがバッチ処理でS3にデータ保存 | EC2インスタンスにS3へのアクセス権限を設定 |
また、今回の構成図は以下のようにないrます。
実際の操作
- EC2を作成は本編と違うため割愛します。
IAMロールの作成
- IAMのダッシュボード-アクセス管理-ポリシーの順に選択し、ポリシーの作成をクリック
- 以下の設定を選択したら、次のステップ:タグを選択
設定項目 | 設定値 |
---|---|
サービス | S3 |
アクション | 手動のアクション、*(すべてのアクション) |
リソース | すべてのリソース |
リクエスト条件 | なし |
該当するポリシーのJSONは以下のようになります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
- タグは追加せず、次のステップ:確認をクリック
- 名称と説明に「S3Allow」と記載したら、ポリシーの作成をクリック
cf)以前作成していたものがの残っている場合、画面のようにエンティティが存在してますと表示されます。
その場合は名称を変更するか削除して作り直すとよいです。
- ポリシー作成後、アクセス管理-ロール-ロールの作成をクリック
補足:
ロールの適用範囲はAWSサービスへ適用する制限だけではなくGoogleなどのウェブIDや ADと連携するための統合認証のSAML2.0フェデレーションの許可を有効にする
- 先程作ったS3Allowというポリシーにチェックを入れ、次のステップ:タグをクリック
- タグの指定は不要なのでそのまま、次のステップ:確認をクリック
- ロール名を指定したら、ロールの作成をクリック
ここまでがロール作成なので作成したロールをEC2へ付与します。
IAMロールのEC2への適用
- IAMロールを適用したいインスタンスを選択したら、アクション-セキュリティ-IAMロールを変更の順に変更します。
- 先程作ったIAMロールを選択し保存をクリックします。
- ここからが適用後の確認
- インスタンスへログイン出来たら以下コマンドでS3にアクセスできるか確認
実行コマンド:
aws s3 ls
実際の結果:
今回のテーマは以上です。