翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS SDKs とツールを使用した認証とアクセス
AWS SDK アプリケーションを開発するとき、または使用する AWS ツールを使用する場合は AWS のサービス、コードまたはツールの認証方法を確立する必要があります AWS。 AWS リソースへのプログラムによるアクセスは、コードが実行される環境と利用可能な AWS アクセスに応じて、さまざまな方法で設定できます。
ローカル ( AWS内部ではない) で実行されるコードの認証オプション
-
IAM Identity Center を使用して AWS SDK とツールを認証する – セキュリティのベストプラクティスとして、IAM Identity Center AWS Organizations で を使用して、すべての へのアクセスを管理することをお勧めします AWS アカウント。でユーザーを作成する AWS IAM Identity Centerか、Microsoft Active Directory を使用するか、SAML 2.0 ID プロバイダー (IdP) を使用するか、IdP を個別にフェデレーションできます AWS アカウント。お使いのリージョンが IAM Identity Center をサポートしているかどうかを確認するには、Amazon Web Services 全般のリファレンス の「AWS IAM Identity Center エンドポイントとクォータ」を参照してください。
-
IAM Roles Anywhere を使用した AWS SDKsとツールの認証 – IAM Roles Anywhere を使用して、外部で実行されるサーバー、コンテナ、アプリケーションなどのワークロードの一時的なセキュリティ認証情報を IAM で取得できます AWS。IAM Roles Anywhere を使用するには、ワークロードで X.509 証明書を使用する必要があります。
-
AWS SDKsとツールを認証するための AWS 認証情報を持つロールの引き受け – IAM ロールを引き受けて、それ以外の場合はアクセスできない AWS リソースに一時的にアクセスできます。
-
AWS アクセスキーを使用した AWS SDKs認証 – 利便性が低い、または AWS リソースのセキュリティリスクが高まる可能性があるその他のオプション。
AWS 環境内で実行されるコードの認証オプション
コードが実行されると AWS、アプリケーションが認証情報を自動的に使用できるようになります。例えば、アプリケーションが Amazon Elastic Compute Cloud でホストされていて、そのリソースに関連付けられた IAM ロールがある場合、認証情報は自動的にアプリケーションで利用可能になります。同様に、Amazon ECS または Amazon EKS コンテナを使用する場合、IAM ロールの認証情報セットは、SDK の認証情報プロバイダーチェーンを介してコンテナ内で実行されるコードによって自動的に取得できます。
-
IAM ロールを使用して Amazon EC2 にデプロイされたアプリケーションを認証する — IAM ロールを使用して、Amazon EC2 インスタンスでアプリケーションを安全に実行します。
-
IAM Identity Center AWS を使用してプログラムで とやり取りするには、次の方法があります。
-
AWS CloudShell コンソールから AWS CLI コマンドを実行するには、 を使用します。
-
ソフトウェア開発チーム向けのクラウドベースのコラボレーションスペースを試すには、「Amazon CodeCatalyst」 のご使用を検討ください。
-
ウェブベースのアイデンティティープロバイダーによる認証 - モバイルまたはクライアントベースのウェブアプリケーション
アクセスを必要とするモバイルアプリケーションまたはクライアントベースのウェブアプリケーションを作成する場合は AWS、ウェブ ID フェデレーションを使用して一時的な AWS セキュリティ認証情報を動的にリクエストするようにアプリケーションを構築します。
ウェブ ID フェデレーションを使用すると、カスタムサインインコードを作成したり独自のユーザー ID を管理したりする必要はありません。その代わりに、アプリのユーザーは、よく知られている外部 ID プロバイダー (IdP) (例: Login with Amazon、Facebook、Google などの OpenID Connect (OIDC) 互換の IdP) を使用してサインインすることができます。認証トークンを受け取り、そのトークンを の一時的なセキュリティ認証情報と交換して、 AWS のリソースを使用するアクセス許可を持つ IAM ロールにマッピングできます AWS アカウント。
SDK またはツールへ設定する方法については、「ウェブ ID または OpenID Connect でロールを引き受けて AWS SDKsとツールを認証する」を参照してください。
モバイルアプリケーションに対しては、Amazon Cognito の使用をお勧めします。Amazon Cognito は ID ブローカーとして機能し、ユーザーの代わりに多くのフェデレーション作業を行います。詳細については、「IAM ユーザーガイド」の「モバイルアプリに対する Amazon Cognito の使用」を参照してください。
アクセス管理に関する詳細情報
IAM ユーザーガイドには、 AWS リソースへのアクセスを安全に制御するための以下の情報が記載されています。
-
IAM ID (ユーザー、ユーザーグループ、ロール) – での ID の基本を理解します AWS。
-
IAM におけるセキュリティのベストプラクティス — 責任共有モデル
に従って AWS アプリケーションを開発する際に従うべきセキュリティの推奨事項。
Amazon Web Services 全般のリファレンス には、以下に関する基本的な基本事項があります。
-
AWS 認証情報の理解と取得 — コンソールアクセスとプログラムアクセスの両方に関するアクセスキーオプションと管理プラクティス。
アクセスする IAM アイデンティティセンターの信頼された ID 伝達 (TIP) プラグイン AWS のサービス
-
TIP プラグインを使用して にアクセスする AWS のサービス – 信頼できる ID の伝播をサポートする Amazon Q Business または他のサービス用のアプリケーションを作成し、 AWS SDK for Java または を使用している場合は AWS SDK for JavaScript、TIP プラグインを使用して認可を合理化できます。
AWS ビルダー ID
は、すでに所有 AWS アカウント している、または作成する可能性のあるものを AWS ビルダー ID 補完します。 AWS アカウント は、作成した AWS リソースのコンテナとして機能し、それらのリソースのセキュリティ境界を提供しますが、 はユーザーを個人として AWS ビルダー ID 表します。を使用してサインイン AWS ビルダー ID すると、Amazon Q や Amazon CodeCatalyst などの開発者ツールやサービスにアクセスできます。
-
AWS サインイン ユーザーガイドの「 でサインイン AWS ビルダー IDする – を作成して使用する方法 AWS ビルダー ID と、ビルダー ID が提供する内容について説明します。
-
CodeCatalyst の概念 - Amazon CodeCatalyst ユーザーガイドでの AWS ビルダー ID – CodeCatalyst での AWS ビルダー IDの使用方法について説明します。
