IAM ユーザーのサービス固有の認証情報

サービス固有の認証情報は、特定のAWS サービス用に設計された特殊な認証メカニズムです。これらの認証情報は、標準のAWS 認証情報と比較して認証が簡素化されており、個々のAWS サービスの認証要件に合わせて調整されます。複数のAWS サービスで使用できるアクセスキーとは異なり、サービス固有の認証情報は、作成されたサービスでのみ使用するように設計されています。このターゲットを絞ったアプローチにより、認証情報の適用範囲を制限することでセキュリティを強化します。

サービス固有の認証情報は通常、特定のサービスの要件に従ってフォーマットされたユーザー名とパスワードのペアまたは特殊な API キーで構成されます。サービス固有の認証情報を作成すると、デフォルトでアクティブになるため直ぐに使用できます。サポート対象の各サービスでは、IAM ユーザーごとにサービス固有の認証情報を最大 2 セット設定できます。この制限により、必要に応じて新しいセットにローテーションしながら、1 つのアクティブなセットを維持できます。 AWS は現在、次のサービスのサービス固有の認証情報をサポートしています。

サービス固有の認証情報のローテーション

セキュリティのベストプラクティスとして、サービス固有の認証情報を定期的にローテーションします。アプリケーションを中断せずに認証情報を更新するには：

サービス固有の認証情報のモニタリング

AWS CloudTrail を使用して、AWS アカウント内のサービス固有の認証情報の使用をモニタリングできます。サービス固有の認証情報の使用に関連する CloudTrail イベントを表示するには、認証情報が使用されるサービスからのイベントの CloudTrail ログを確認します。詳細については、「AWS CloudTrail による IAM および AWS STS の API コールのログ記録」を参照してください。

セキュリティを強化するには、不正アクセスやその他のセキュリティ上の懸念を示す可能性のある特定の認証情報の使用パターンを通知するように CloudWatch アラームを設定することを検討してください。詳細については、「AWS CloudTrail ユーザーガイド」の「Amazon CloudWatch Logs による CloudTrail ログファイルのモニタリング」を参照してください。

以下のトピックでは、サービス固有の認証情報について説明します。