EC2インスタンスにIAMロールを設定すると、これまでは、RDSやS3の操作などをWebアプリケーションの設定ファイルなどにアクセスキーとシークレットアクセスキーを記述して行っていたが、それが不要になります。これにより、秘密情報を外部に出すリスクがなくなり、より安全にAWS運用を行えるという事になります。シークレットキーなどの類は、大方ヒューマンエラーによって外部に漏れ…

AWS EC2インスタンス用のIAMロールを作成する

<h2 id="contents">Contents</h2>
<ol>
<li><a href="#ec2-%E3%82%A4%E3%83%B3%E3%82%B9%E3%82%BF%E3%83%B3%E3%82%B9%E3%81%AB-iam-%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B%E7%90%86%E7%94%B1">EC2 インスタンスに IAM ロールを設定する理由</a></li>
<li><a href="#iam-%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9---%E3%83%AD%E3%83%BC%E3%83%AB%E4%BD%9C%E6%88%90%E3%81%AE%E3%83%9A%E3%83%BC%E3%82%B8%E3%81%B8">IAM サービス - ロール作成のページへ</a></li>
<li><a href="#%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%AE%E4%BD%9C%E6%88%90">ロールの作成</a>
<ol>
<li><a href="#%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%97%E3%81%AE%E9%81%B8%E6%8A%9E">ロールタイプの選択</a></li>
<li><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E6%A8%A9%E9%99%90">アクセス権限</a></li>
<li><a href="#%E7%A2%BA%E8%AA%8D%E7%94%BB%E9%9D%A2">確認画面</a></li>
</ol>
</li>
<li><a href="#%E3%83%AD%E3%83%BC%E3%83%AB%E4%BD%9C%E6%88%90%E5%AE%8C%E4%BA%86">ロール作成完了</a></li>
</ol>
<h2 id="ec2-インスタンスに-iam-ロールを設定する理由">EC2 インスタンスに IAM ロールを設定する理由</h2>
<p>まず、「EC2 インスタンスに IAM ロールを設定する」という事は、<br>
<strong>「EC2 インスタンス自体に AWS サービスにアクセス可能な権限を設定する」</strong><br>
という事になります。</p>
<p>これがどういう事かというと、<br>
<strong>「これまでは、RDS や S3 の操作などを Web アプリケーションの設定ファイルなどにアクセスキーとシークレットアクセスキーを記述して行っていたが、それが不要になる。」</strong><br>
という事です。</p>
<p>要するに、秘密情報を外部に出すリスクがなくなり、より安全に AWS運用を行えるという事になります。<br>
シークレットキーなどの類は、大方ヒューマンエラーによって外部に漏れる事が多いと感じていますので、非常に有効な手段だと思います。</p>
<h2 id="iam-サービス---ロール作成のページへ">IAM サービス - ロール作成のページへ</h2>
<p>という事で今回は、EC2 インスタンスに設定する用の IAM ロールを作成していきます。<br>
まずは、IAM サービスへ移動します。<br>
左上の「サービス」をクリックしサービス一覧から「セキュリティ、 アイデンティティ、 コンプライアンス」にある「IAM 」をクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/16/3KRniDhogjkAiO5LXff6.jpg" width="1000" height="739" alt="IAM ページへ"></div>
<p>IAM サービスへ移動したら、ロール作成のページへ移動します。<br>
左側のナビゲーションから「ロール」をクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/16/DY4t8nxpezAeKUe3oLMV.jpg" width="800" height="340" alt="ロールページへ"></div>
<h2 id="ロールの作成">ロールの作成</h2>
<p>ロールの一覧ページへ遷移したら、「ロールの作成」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/16/5FOfz3DTl0kkQep1UpLz.jpg" width="800" height="218" alt="ロールの作成"></div>
<h3 id="ロールタイプの選択">ロールタイプの選択</h3>
<p>以下の手順で選択していきます。</p>
<p>1. 「AWS サービス」をクリック
2. 「このロールを使用するサービスを選択」から「EC2 」をクリック
3. 下部に表示される「ユースケースの選択」から「EC2 」選択（クリック）</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/16/lcqaM5tSqyisBpIf1jgl.jpg" width="799" height="862" alt="ロールタイプの選択"></div>
<h4 id="ec2---ユースケースの選択について">EC2 - ユースケースの選択について</h4>
<dl>
<dt>EC2</dt>
<dd>Allows EC2 instances to call AWS services on your behalf.</dd>
<dd>EC2 インスタンスがあなたの代わりに AWS サービスを呼び出すことを許可します。</dd>
<dt>EC2 Role for Simple Systems Manager</dt>
<dd>Provides EC2 Intances access to Amazon Simple Systems Manager (SSM), CloudWatch, EC2, and supported plugins in SSM documents.</dd>
<dd>Amazon Simple System Manager（SSM）、CloudWatch, EC2, および SSM ドキュメントのサポートされているプラグインへの EC2 Instances アクセスを提供します。</dd>
<dt>EC2 Spot Fleet Role</dt>
<dd>Allows EC2 Spot Fleet to request and terminate Spot Instances on your behalf.</dd>
<dd>あなたに代わって EC2 Spot Fleet がスポットインスタンスをリクエストして終了できるようにします。</dd>
</dl>
<p>選択したら、「次のステップ：アクセス権限」をクリックします。</p>
<h3 id="アクセス権限">アクセス権限</h3>
<p>ここでは、EC2 インスタンス用のロールにどんなルール（権限）を付与するかを選択します。<br>
全部で 10 個まで選択可能ですが、ここはひとまず以下のポリシーを選択します。<br>
それぞれ、利用するサービスによって適宜変更してください。</p>
<ul>
<li>AmazonEC2FullAccess</li>
<li>AmazonRDSFullAccess</li>
<li>AmazonS3FullAccess</li>
</ul>
<p>ちなみに、検索フォームには半角スぺース区切りで複数（OR）検索が行えますので、例えば上記三点を探そうと思ったら、<br>
「EC2F RDSF S3F 」<br>
みたいにして入力すると一発で３つ探せます。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/16/jITOhJOuDue1Y4s2HdG3.jpg" width="800" height="689" alt="アクセス権限"></div>
<p>選択したら、「次のステップ：確認」をクリックします。</p>
<h3 id="確認画面">確認画面</h3>
<p>確認画面へ進みますので、「ロール名」と「ロールの説明」を入力し、ポリシーを確認します。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/16/ootjPrUGA3wIvPljCvQR.jpg" width="800" height="681" alt="確認画面"></div>
<p>ロール名最大 64 文字英数字と「 +=,.@-_ 」が使用可ロールの説明最大 1000 文字英数字と「 +=,.@-_ 」が使用可空白でも OKOK であれば、「ロールの作成」をクリックします。</p>
<h2 id="ロール作成完了">ロール作成完了</h2>
<p>ロールの一覧を確認してみてください。作成したロールが正常に表示されていれば、EC2 インスタンス用の IAM ロール作成は完了です。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/16/bQyd04VD50kBu3UMXJAI.jpg" width="800" height="197" alt="ロールの一覧を確認"></div>
<p>あとは EC2 インスタンスの立ち上げ時にこのロールを指定すれば、設定されます。</p>

<h2 id="contents">Contents</h2>
<ol>
<li><a href="#ec2-%E3%82%A4%E3%83%B3%E3%82%B9%E3%82%BF%E3%83%B3%E3%82%B9%E3%81%AB-iam-%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B%E7%90%86%E7%94%B1">EC2 インスタンスに IAM ロールを設定する理由</a></li>
<li><a href="#iam-%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9---%E3%83%AD%E3%83%BC%E3%83%AB%E4%BD%9C%E6%88%90%E3%81%AE%E3%83%9A%E3%83%BC%E3%82%B8%E3%81%B8">IAM サービス - ロール作成のページへ</a></li>
<li><a href="#%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%AE%E4%BD%9C%E6%88%90">ロールの作成</a>
<ol>
<li><a href="#%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%97%E3%81%AE%E9%81%B8%E6%8A%9E">ロールタイプの選択</a></li>
<li><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E6%A8%A9%E9%99%90">アクセス権限</a></li>
<li><a href="#%E7%A2%BA%E8%AA%8D%E7%94%BB%E9%9D%A2">確認画面</a></li>
</ol>
</li>
<li><a href="#%E3%83%AD%E3%83%BC%E3%83%AB%E4%BD%9C%E6%88%90%E5%AE%8C%E4%BA%86">ロール作成完了</a></li>
</ol>
<h2 id="ec2-インスタンスに-iam-ロールを設定する理由">EC2 インスタンスに IAM ロールを設定する理由</h2>
<p>まず、「EC2 インスタンスに IAM ロールを設定する」という事は、<br>
<strong>「EC2 インスタンス自体に AWS サービスにアクセス可能な権限を設定する」</strong><br>
という事になります。</p>
<p>これがどういう事かというと、<br>
<strong>「これまでは、RDS や S3 の操作などを Web アプリケーションの設定ファイルなどにアクセスキーとシークレットアクセスキーを記述して行っていたが、それが不要になる。」</strong><br>
という事です。</p>
<p>要するに、秘密情報を外部に出すリスクがなくなり、より安全に AWS運用を行えるという事になります。<br>
シークレットキーなどの類は、大方ヒューマンエラーによって外部に漏れる事が多いと感じていますので、非常に有効な手段だと思います。</p>
<h2 id="iam-サービス---ロール作成のページへ">IAM サービス - ロール作成のページへ</h2>
<p>という事で今回は、EC2 インスタンスに設定する用の IAM ロールを作成していきます。<br>
まずは、IAM サービスへ移動します。<br>
左上の「サービス」をクリックしサービス一覧から「セキュリティ、 アイデンティティ、 コンプライアンス」にある「IAM 」をクリックします。</p>
<div class="img_wrap"><img src="/images/posts/16/3KRniDhogjkAiO5LXff6.jpg" width="1000" height="739" alt="IAM ページへ"></div>
<p>IAM サービスへ移動したら、ロール作成のページへ移動します。<br>
左側のナビゲーションから「ロール」をクリックします。</p>
<div class="img_wrap"><img src="/images/posts/16/DY4t8nxpezAeKUe3oLMV.jpg" width="800" height="340" alt="ロールページへ"></div>
<h2 id="ロールの作成">ロールの作成</h2>
<p>ロールの一覧ページへ遷移したら、「ロールの作成」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/16/5FOfz3DTl0kkQep1UpLz.jpg" width="800" height="218" alt="ロールの作成"></div>
<h3 id="ロールタイプの選択">ロールタイプの選択</h3>
<p>以下の手順で選択していきます。</p>
<p>1. 「AWS サービス」をクリック
2. 「このロールを使用するサービスを選択」から「EC2 」をクリック
3. 下部に表示される「ユースケースの選択」から「EC2 」選択（クリック）</p>
<div class="img_wrap"><img src="/images/posts/16/lcqaM5tSqyisBpIf1jgl.jpg" width="799" height="862" alt="ロールタイプの選択"></div>
<h4 id="ec2---ユースケースの選択について">EC2 - ユースケースの選択について</h4>
<dl>
<dt>EC2</dt>
<dd>Allows EC2 instances to call AWS services on your behalf.</dd>
<dd>EC2 インスタンスがあなたの代わりに AWS サービスを呼び出すことを許可します。</dd>
<dt>EC2 Role for Simple Systems Manager</dt>
<dd>Provides EC2 Intances access to Amazon Simple Systems Manager (SSM), CloudWatch, EC2, and supported plugins in SSM documents.</dd>
<dd>Amazon Simple System Manager（SSM）、CloudWatch, EC2, および SSM ドキュメントのサポートされているプラグインへの EC2 Instances アクセスを提供します。</dd>
<dt>EC2 Spot Fleet Role</dt>
<dd>Allows EC2 Spot Fleet to request and terminate Spot Instances on your behalf.</dd>
<dd>あなたに代わって EC2 Spot Fleet がスポットインスタンスをリクエストして終了できるようにします。</dd>
</dl>
<p>選択したら、「次のステップ：アクセス権限」をクリックします。</p>
<h3 id="アクセス権限">アクセス権限</h3>
<p>ここでは、EC2 インスタンス用のロールにどんなルール（権限）を付与するかを選択します。<br>
全部で 10 個まで選択可能ですが、ここはひとまず以下のポリシーを選択します。<br>
それぞれ、利用するサービスによって適宜変更してください。</p>
<ul>
<li>AmazonEC2FullAccess</li>
<li>AmazonRDSFullAccess</li>
<li>AmazonS3FullAccess</li>
</ul>
<p>ちなみに、検索フォームには半角スぺース区切りで複数（OR）検索が行えますので、例えば上記三点を探そうと思ったら、<br>
「EC2F RDSF S3F 」<br>
みたいにして入力すると一発で３つ探せます。</p>
<div class="img_wrap"><img src="/images/posts/16/jITOhJOuDue1Y4s2HdG3.jpg" width="800" height="689" alt="アクセス権限"></div>
<p>選択したら、「次のステップ：確認」をクリックします。</p>
<h3 id="確認画面">確認画面</h3>
<p>確認画面へ進みますので、「ロール名」と「ロールの説明」を入力し、ポリシーを確認します。</p>
<div class="img_wrap"><img src="/images/posts/16/ootjPrUGA3wIvPljCvQR.jpg" width="800" height="681" alt="確認画面"></div>
<p>ロール名最大 64 文字英数字と「 +=,.@-_ 」が使用可ロールの説明最大 1000 文字英数字と「 +=,.@-_ 」が使用可空白でも OKOK であれば、「ロールの作成」をクリックします。</p>
<h2 id="ロール作成完了">ロール作成完了</h2>
<p>ロールの一覧を確認してみてください。作成したロールが正常に表示されていれば、EC2 インスタンス用の IAM ロール作成は完了です。</p>
<div class="img_wrap"><img src="/images/posts/16/bQyd04VD50kBu3UMXJAI.jpg" width="800" height="197" alt="ロールの一覧を確認"></div>
<p>あとは EC2 インスタンスの立ち上げ時にこのロールを指定すれば、設定されます。</p>

Author