RitoLabo

AWS EC2インスタンス用のIAMロールを作成する

  • 公開:
  • 更新:
  • カテゴリ: AWS
  • タグ: AWS,EC2,IAM,role

アジェンダ
  1. EC2インスタンスにIAMロールを設定する理由
  2. IAMサービス - ロール作成のページへ
  3. ロールの作成
    1. ロールタイプの選択
    2. アクセス権限
    3. 確認画面
  4. ロール作成完了

EC2インスタンスにIAMロールを設定する理由

まず、「EC2インスタンスにIAMロールを設定する」という事は、
「EC2インスタンス自体にAWSサービスにアクセス可能な権限を設定する」
という事になります。

これがどういう事かというと、
「これまでは、RDSやS3の操作などをWebアプリケーションの設定ファイルなどにアクセスキーとシークレットアクセスキーを記述して行っていたが、それが不要になる。」
という事です。

要するに、秘密情報を外部に出すリスクがなくなり、より安全にAWS運用を行えるという事になります。
シークレットキーなどの類は、大方ヒューマンエラーによって外部に漏れる事が多いと感じていますので、非常に有効な手段だと思います。

IAMサービス - ロール作成のページへ

という事で今回は、EC2インスタンスに設定する用のIAMロールを作成していきます。
まずは、IAMサービスへ移動します。
左上の「サービス」をクリックしサービス一覧から「セキュリティ、 アイデンティティ、 コンプライアンス」にある「IAM」をクリックします。

IAMページへ

IAMサービスへ移動したら、ロール作成のページへ移動します。
左側のナビゲーションから「ロール」をクリックします。

ロールページへ

ロールの作成

ロールの一覧ページへ遷移したら、「ロールの作成」ボタンをクリックします。

ロールの作成

ロールタイプの選択

以下の手順で選択していきます。

  1. 「AWS サービス」をクリック
  2. 「このロールを使用するサービスを選択」から「EC2」をクリック
  3. 下部に表示される「ユースケースの選択」から「EC2」選択(クリック)

ロールタイプの選択

EC2 - ユースケースの選択について

EC2
Allows EC2 instances to call AWS services on your behalf.
→EC2インスタンスがあなたの代わりにAWSサービスを呼び出すことを許可します。
EC2 Role for Simple Systems Manager
Provides EC2 Intances access to Amazon Simple Systems Manager (SSM), CloudWatch, EC2, and supported plugins in SSM documents.
→Amazon Simple System Manager(SSM)、CloudWatch、EC2、およびSSMドキュメントのサポートされているプラグインへのEC2 Intancesアクセスを提供します。
EC2 Spot Fleet Role
Allows EC2 Spot Fleet to request and terminate Spot Instances on your behalf.
→あなたに代わってEC2 Spot Fleetがスポットインスタンスをリクエストして終了できるようにします。

選択したら、「次のステップ:アクセス権限」をクリックします。

アクセス権限

ここでは、EC2インスタンス用のロールにどんなルール(権限)を付与するかを選択します。
全部で10個まで選択可能ですが、ここはひとまず以下のポリシーを選択します。
それぞれ、利用するサービスによって適宜変更してください。

  • AmazonEC2FullAccess
  • AmazonRDSFullAccess
  • AmazonS3FullAccess

ちなみに、検索フォームには半角スぺース区切りで複数(OR)検索が行えますので、例えば上記三点を探そうと思ったら、
「EC2F RDSF S3F」
みたいにして入力すると一発で3つ探せます。

アクセス権限

選択したら、「次のステップ:確認」をクリックします。

確認画面

確認画面へ進みますので、「ロール名」と「ロールの説明」を入力し、ポリシーを確認します。

確認画面

ロール名
最大 64 文字
英数字と「 +=,.@-_ 」が使用可
ロールの説明
最大 1000 文字
英数字と「 +=,.@-_ 」が使用可
空白でもOK

OKであれば、「ロールの作成」をクリックします。

ロール作成完了

ロールの一覧を確認してみてください。作成したロールが正常に表示されていれば、EC2インスタンス用のIAMロール作成は完了です。

ロールの一覧を確認

あとはEC2インスタンスの立ち上げ時にこのロールを指定すれば、設定されます。