AWS EC2インスタンス用のIAMロールを作成する
- 公開日
- 更新日
- カテゴリ:AWS
- タグ:AWS,EC2,IAM,role
Contents
EC2 インスタンスに IAM ロールを設定する理由
まず、「EC2 インスタンスに IAM ロールを設定する」という事は、
「EC2 インスタンス自体に AWS サービスにアクセス可能な権限を設定する」
という事になります。
これがどういう事かというと、
「これまでは、RDS や S3 の操作などを Web アプリケーションの設定ファイルなどにアクセスキーとシークレットアクセスキーを記述して行っていたが、それが不要になる。」
という事です。
要するに、秘密情報を外部に出すリスクがなくなり、より安全に AWS運用を行えるという事になります。
シークレットキーなどの類は、大方ヒューマンエラーによって外部に漏れる事が多いと感じていますので、非常に有効な手段だと思います。
IAM サービス - ロール作成のページへ
という事で今回は、EC2 インスタンスに設定する用の IAM ロールを作成していきます。
まずは、IAM サービスへ移動します。
左上の「サービス」をクリックしサービス一覧から「セキュリティ、 アイデンティティ、 コンプライアンス」にある「IAM 」をクリックします。
IAM サービスへ移動したら、ロール作成のページへ移動します。
左側のナビゲーションから「ロール」をクリックします。
ロールの作成
ロールの一覧ページへ遷移したら、「ロールの作成」ボタンをクリックします。
ロールタイプの選択
以下の手順で選択していきます。
1. 「AWS サービス」をクリック 2. 「このロールを使用するサービスを選択」から「EC2 」をクリック 3. 下部に表示される「ユースケースの選択」から「EC2 」選択(クリック)
EC2 - ユースケースの選択について
- EC2
- Allows EC2 instances to call AWS services on your behalf.
- EC2 インスタンスがあなたの代わりに AWS サービスを呼び出すことを許可します。
- EC2 Role for Simple Systems Manager
- Provides EC2 Intances access to Amazon Simple Systems Manager (SSM), CloudWatch, EC2, and supported plugins in SSM documents.
- Amazon Simple System Manager(SSM)、CloudWatch, EC2, および SSM ドキュメントのサポートされているプラグインへの EC2 Instances アクセスを提供します。
- EC2 Spot Fleet Role
- Allows EC2 Spot Fleet to request and terminate Spot Instances on your behalf.
- あなたに代わって EC2 Spot Fleet がスポットインスタンスをリクエストして終了できるようにします。
選択したら、「次のステップ:アクセス権限」をクリックします。
アクセス権限
ここでは、EC2 インスタンス用のロールにどんなルール(権限)を付与するかを選択します。
全部で 10 個まで選択可能ですが、ここはひとまず以下のポリシーを選択します。
それぞれ、利用するサービスによって適宜変更してください。
- AmazonEC2FullAccess
- AmazonRDSFullAccess
- AmazonS3FullAccess
ちなみに、検索フォームには半角スぺース区切りで複数(OR)検索が行えますので、例えば上記三点を探そうと思ったら、
「EC2F RDSF S3F 」
みたいにして入力すると一発で3つ探せます。
選択したら、「次のステップ:確認」をクリックします。
確認画面
確認画面へ進みますので、「ロール名」と「ロールの説明」を入力し、ポリシーを確認します。
ロール名最大 64 文字英数字と「 +=,.@-_ 」が使用可ロールの説明最大 1000 文字英数字と「 +=,.@-_ 」が使用可空白でも OKOK であれば、「ロールの作成」をクリックします。
ロール作成完了
ロールの一覧を確認してみてください。作成したロールが正常に表示されていれば、EC2 インスタンス用の IAM ロール作成は完了です。
あとは EC2 インスタンスの立ち上げ時にこのロールを指定すれば、設定されます。
