翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EC2 インスタンスで実行中のアプリケーション用の IAM ロール
<a name="us-iam-role"></a>

Amazon EC2 インスタンスで実行されるアプリケーションには、他の AWS のサービスにアクセスするための認証情報が必要です。これらの認証情報を安全な方法で提供するには、IAM ロールを使用します。このロールは、アプリケーションが他の AWS リソースにアクセスするときに使用できる一時的なアクセス許可を付与します。アプリケーションに許可される操作は、ロールのアクセス許可で決定されます。

Auto Scaling グループ内のインスタンス用に、起動テンプレートまたは起動設定を作成し、インスタンスに関連付けるインスタンスプロファイルを選択する必要があります。インスタンスプロファイルは IAM ロールのコンテナであり、インスタンスの起動時に Amazon EC2 インスタンスに IAM ロール情報を渡すために使用できます。まず、 AWS リソースへのアクセスに必要なすべてのアクセス許可を持つ IAM ロールを作成します。次に、インスタンスプロファイルを作成し、そのプロファイルにロールを割り当てます。

**注記**  
ベストプラクティスとして、アプリケーションに必要な最小限のアクセス許可を他の に付与するように、ロールを作成することを強くお勧め AWS のサービス します。

**Contents**
+ [前提条件](#us-iam-role-prereq)
+ [起動テンプレートの作成](#us-iam-role-create-lt)
+ [関連情報](#iam-role-see-also)

## 前提条件
<a name="us-iam-role-prereq"></a>

Amazon EC2 で実行されているアプリケーションが引き受けることができる IAM ロールを作成します。結果としてロールを引き受けたアプリケーションが必要な特定の API 呼び出しを実行できるように、適切なアクセス許可を選択します。

 AWS CLI またはいずれかの AWS SDKs の代わりに IAM コンソールを使用する場合、コンソールによってインスタンスプロファイルが自動的に作成され、対応するロールと同じ名前が付けられます。<a name="create-iam-role-console"></a>

**IAM ロールを作成するには（コンソール）**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. 左側のナビゲーションペインで、[**Roles**] を選択します。

1. [**ロールの作成**] を選択してください。

1. **[Select trusted entity]** (信頼されたエンティティの選択) で、**[AWS のサービス]** を選択します。

1. ユースケースに **[EC2]** を選択してから、**[Next]** (次へ) を選択します。

1. 可能な場合は、アクセス許可ポリシーとして使用するポリシーを選択するか、[**ポリシーの作成**] を選択して新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、『IAM ユーザーガイド』**の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start)」を参照してください。ポリシーを作成したら、そのタブを閉じて元のタブに戻ります。サービスに割り当てるアクセス許可ポリシーの横のチェックボックスをオンにします。

1. (オプション) アクセス許可の境界を設定します。これは、サービスロールに利用できる高度な機能です。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

1. [**次へ**] を選択します。

1. **[Name, review, and create]** (名前、確認、および作成) ページの **[Role name]** (ロール名) に、このロールの目的を識別するために役立つロール名を入力します。この名前は AWS アカウント内で一意である必要があります。他の AWS リソースはロールを参照する可能性があるため、ロールの作成後にロールの名前を編集することはできません。

1. ロールを確認したら、**[ロールを作成]** を選択します。

**IAM アクセス許可**  
IAM アイデンティティーベースのポリシーを使用し、新しい IAM ロールへのアクセスを制御します。`iam:PassRole` 許可は、インスタンスプロファイルを指定する起動テンプレートを使用して Auto Scaling グループを作成または更新する IAM ID (ユーザーまたはロール) で必要です。

次のポリシーの例では、名前が **`qateam-`** で始まる IAM ロールのみを渡す許可を付与します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.govskope.ca.cn"
                    ]
                }
            }
        }
    ]
}
```

------

**重要**  
起動テンプレートを使用する Auto Scaling グループの `iam:PassRole` アクションの許可を Amazon EC2 Auto Scaling が検証する方法については、「[`ec2:RunInstances` と `iam:PassRole` の許可の検証](ec2-auto-scaling-launch-template-permissions.md#runinstances-permissions-validation)」を参照してください。

## 起動テンプレートの作成
<a name="us-iam-role-create-lt"></a>

を使用して起動テンプレートを作成する場合 AWS マネジメントコンソール、**詳細セクション**で、**IAM インスタンスプロファイル**からロールを選択します。詳細については、「[詳細設定を使用して起動テンプレートを作成する](advanced-settings-for-your-launch-template.md)」を参照してください。

から [create-launch-template](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-launch-template.html) コマンドを使用して起動テンプレートを作成するときは AWS CLI、次の例に示すように、IAM ロールのインスタンスプロファイル名を指定します。

```
aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'
```

## 関連情報
<a name="iam-role-see-also"></a>

Amazon EC2 の IAM ロールについて学習し、使用する方法の詳細については、「」を参照してください。
+ 「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 の IAM ロール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)」
+ *IAM ユーザーガイド*の[インスタンスプロファイルの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)および[IAM ロールを使用して、Amazon EC2 インスタンスで実行されるアプリケーションにアクセス許可を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)