アイデンティティベースポリシーリソースベースのポリシーポリシーアクションポリシーリソースポリシー条件キー ACL ABAC 一時認証情報サービスロールサービスリンクロール

Amazon EC2 Auto Scaling と IAM の連携

IAM を使用して Amazon EC2 Auto Scaling へのアクセスを管理する前に、Amazon EC2 Auto Scaling で使用できる IAM 機能について理解しておく必要があります。

Amazon EC2 Auto Scaling で使用できる IAM 機能
IAM の機能	Amazon EC2 Auto Scaling サポート
アイデンティティベースポリシー	あり
リソースベースのポリシー	なし
ポリシーアクション	あり
ポリシーリソース	はい
ポリシー条件キー (サービス固有)	はい
ACL	なし
ABAC (ポリシー内のタグ)	部分的
一時的な認証情報	あり
サービスロール	あり
サービスリンクロール	あり

Amazon EC2 Auto Scaling などの AWS のサービスが大部分の IAM 機能とどのように連携するかについての概要は、「IAM ユーザーガイド」の「IAM と連携する AWS のサービス」を参照してください。

Amazon EC2 Auto Scaling のアイデンティティベースのポリシー

アイデンティティベースのポリシーのサポート: あり

アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「IAM ユーザーガイド」の「カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する」を参照してください。

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「IAM ユーザーガイド」の「IAM JSON ポリシーの要素のリファレンス」を参照してください。

Amazon EC2 Auto Scaling 内のリソースベースのポリシー

リソースベースのポリシーのサポート: なし

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーでは、プリンシパルを指定する必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーションユーザー、または AWS のサービスを含めることができます。

クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、「IAM ユーザーガイド」の「IAM でのクロスアカウントリソースアクセス」を参照してください。

Amazon EC2 Auto Scaling のポリシーアクション

ポリシーアクションのサポート:あり

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon EC2 Auto Scaling アクションのリストを確認するには、「サービス認可リファレンス」の「Amazon EC2 Auto Scaling で定義されるアクション」を参照してください。

Amazon EC2 Auto Scaling のポリシーアクションは、アクションの前に以下のプレフィックスを使用します。


autoscaling

単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。


"Action": [
  "autoscaling:action1",
  "autoscaling:action2"
]

ワイルドカード (*) を使用して複数のアクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには次のアクションを含めます。


"Action": "autoscaling:Describe*"

Amazon EC2 Auto Scaling のポリシーリソース

ポリシーリソースのサポート: あり

Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。


"Resource": "*"

ARN を使用して、IAM ポリシーを適用する Auto Scaling グループと起動設定を特定できます。

Auto Scaling グループには、次の ARN があります。


"Resource": "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/asg-name"

起動設定には次の ARN があります。


"Resource": "arn:aws:autoscaling:region:account-id:launchConfiguration:uuid:launchConfigurationName/lc-name"

CreateAutoScalingGroup アクションを使用して Auto Scaling グループを指定するには、次の例に示すように UUID をワイルドカード (*) に置き換える必要があります。


"Resource": "arn:aws:autoscaling:region:account-id:autoScalingGroup:*:autoScalingGroupName/asg-name"

CreateLaunchConfiguration アクションを使用して起動設定を指定するには、次の例に示すように UUID をワイルドカード (*) に置き換える必要があります。


"Resource": "arn:aws:autoscaling:region:account-id:launchConfiguration:*:launchConfigurationName/lc-name"

Amazon EC2 Auto Scaling リソースタイプ、およびその ARN の詳細については、「サービス認可リファレンス」の「Amazon EC2 Auto Scaling で定義されるリソース」を参照してください。各リソースの ARN を指定できるアクションについては、「Amazon EC2 Auto Scaling で定義されるアクション」を参照してください。

注記

ARN を使用して Auto Scaling グループへのアクセスを制御する IAM ポリシーの例については、「削除できる Auto Scaling グループを制御する」を参照してください。。

現在、すべての Amazon EC2 Auto Scaling アクションがリソースレベルのアクセス許可をサポートしているわけではありません。リソースレベルの許可をサポートしていないアクションの場合、ワイルドカード (*) をリソースとして使用する必要があります。

次の Amazon EC2 Auto Scaling アクションは、リソースレベルのアクセス許可をサポートしていません。

DescribeAccountLimits
DescribeAdjustmentTypes
DescribeAutoScalingGroups
DescribeAutoScalingInstances
DescribeAutoScalingNotificationTypes
DescribeInstanceRefreshes
DescribeLaunchConfigurations
DescribeLifecycleHooks
DescribeLifecycleHookTypes
DescribeLoadBalancers
DescribeLoadBalancerTargetGroups
DescribeMetricCollectionTypes
DescribeNotificationConfigurations
DescribePolicies
DescribeScalingActivities
DescribeScalingProcessTypes
DescribeScheduledActions
DescribeTags
DescribeTerminationPolicyTypes
DescribeWarmPool

表示を増やす

表示を減らす

Amazon EC2 Auto Scaling のポリシー条件キー

サービス固有のポリシー条件キーのサポート: あり

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素は、定義された基準に基づいてステートメントが実行されるタイミングを指定します。イコールや未満などの条件演算子を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドのAWS グローバル条件コンテキストキーを参照してください。

Amazon EC2 Auto Scaling が次の条件キーをサポートすることで、サポートしているアクションへのアクセスを制御でき、Auto Scaling グループの設定を強制することができます。

autoscaling:InstanceTypes
autoscaling:LaunchConfigurationName
autoscaling:LaunchTemplateVersionSpecified
autoscaling:LoadBalancerNames
autoscaling:MaxSize
autoscaling:MinSize
autoscaling:ResourceTag/key-name: tag-value
autoscaling:TargetGroupARNs
autoscaling:VPCZoneIdentifiers

次の条件キーは、起動構成リクエストの作成に固有のものです。

autoscaling:ImageId
autoscaling:InstanceType
autoscaling:MetadataHttpEndpoint
autoscaling:MetadataHttpPutResponseHopLimit
autoscaling:MetadataHttpTokens
autoscaling:SpotPrice

Amazon EC2 Auto Scaling は、リクエスト内のタグまたは Auto Scaling グループに存在するタグに基づいてアクセス許可を定義するために使用できる次のグローバル条件キーもサポートしています。詳しくは、「Auto Scaling グループとインスタンスにタグを付ける」を参照してください。

aws:RequestTag/key-name: tag-value
aws:ResourceTag/key-name: tag-value
aws:TagKeys: [tag-key, ...]

条件キーを使用できる Amazon EC2 Auto Scaling API アクションについて理解するには、「サービス認可リファレンス」の「Amazon EC2 Auto Scaling で定義されるアクション」を参照してください。Amazon EC2 Auto Scaling 条件キーに関する詳細については、「Amazon EC2 Auto Scaling の条件キー」を参照してください。

注記

条件キーを使用して、サポートしているアクションへのアクセスを制御し、Auto Scaling グループの設定を強制する IAM ポリシーの例については、次のリソースを参照してください。

起動テンプレートとバージョン番号を要求する — この例では、Auto Scaling グループを作成または更新するときに、起動テンプレートと起動テンプレートのバージョン番号を指定する必要があります。
作成できる Auto Scaling グループのサイズを制御する — この例では、特定のタグがついた Auto Scaling グループを作成または更新するときに、MinSize と MaxSize のプロパティに指定できる値に制約を課しています。
削除できるスケーリングポリシーを制御する — この例では、特定のタグがついていない Auto Scaling グループのみ、スケーリングポリシーの削除を許可するよう強制しています。

Amazon EC2 Auto Scaling の ACL

ACL のサポート: なし

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするための許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

Amazon EC2 Auto Scaling による ABAC

ABAC (ポリシー内のタグ) のサポート: 一部

属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグを付けることで、プリンシパルのタグがリソースタグと一致するときに操作を許可する ABAC ポリシーを設計できます。

タグに基づいてアクセスを管理するには、aws:ResourceTag/key-name、aws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。

サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値はありです。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「部分的」になります。

ABAC の詳細については、「IAM ユーザーガイド」の「ABAC 認可でアクセス許可を定義する」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「IAM ユーザーガイド」の「属性ベースのアクセスコントロール (ABAC) を使用する」を参照してください。

ABAC はタグをサポートするリソースでは可能ですが、すべてのリソースがタグをサポートしているわけではありません。起動設定とスケーリングポリシーはタグをサポートしていませんが、Auto Scaling グループはタグをサポートしています。

詳細については、「Auto Scaling グループとインスタンスにタグを付ける」を参照してください。

Amazon EC2 Auto Scaling での一時認証情報の使用

一時的な認証情報のサポート: あり

一時的な認証情報は、AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「IAM ユーザーガイド」の「IAM の一時的な認証情報」および「IAM と連携する AWS のサービス」を参照してください。

Amazon EC2 Auto Scaling のサービスロール

サービスロールのサポート: あり

サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS のサービスに許可を委任するロールを作成する」を参照してください。

Amazon SNS トピックまたは Amazon SQS キューを通知するライフサイクルフックを作成する場合は、ロールを指定して、Amazon EC2 Auto Scaling がユーザーに代わって Amazon SNS または Amazon SQS にアクセスすることを許可する必要があります。IAM コンソールを使用して、ライフサイクルフックのサービスロールを設定します。コンソールは、マネージドポリシーを使用して十分なアクセス許可セットを持つロールを作成するのに役立ちます。詳細については、「Amazon SNS を使用した通知の受信」および「Amazon SQS を使用した通知の受信」を参照してください。

オプションで、Auto Scaling グループを作成するときに、サービスロールを渡して、Amazon EC2 インスタンスがユーザーに代わって他の AWS のサービスにアクセスすることを許可できます。Amazon EC2 インスタンスのサービスロール (起動テンプレート用または起動設定用の Amazon EC2 インスタンスプロファイル) は、インスタンス起動時に Auto Scaling グループ内のすべての EC2 インスタンスに割り当てられる特殊なサービスロールです。IAM コンソールと AWS CLI を使用して、このサービスロールを作成または編集できます。詳しくは、「Amazon EC2 インスタンスで実行中のアプリケーション用の IAM ロール」を参照してください。

警告

サービスロールの許可を変更すると、Amazon EC2 Auto Scaling の機能を損なうおそれがあります。Amazon EC2 Auto Scaling が指示する場合以外はサービスロールを編集しないでください。

Amazon EC2 Auto Scaling のサービスにリンクされたロール

サービスリンクロールのサポート: あり

サービスにリンクされたロールは、AWS のサービスにリンクされているサービスロールの一種です。サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。サービスにリンクされたロールは、AWS アカウントに表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。

Amazon EC2 Auto Scaling でのサービスにリンクされたロールの作成または管理の詳細については、「Amazon EC2 Auto Scaling のサービスにリンクされたロール」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Identity and Access Management

API アクセス許可