翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Elastic Beanstalk がシークレットとパラメータにアクセスするために必要な IAM アクセス許可
<a name="AWSHowTo.secrets.IAM-permissions"></a>

 AWS Secrets Manager および Parameter Store のシークレットとパラメータを取得するために必要なアクセス許可を環境の EC2 AWS Systems Manager インスタンスに付与する必要があります。アクセス許可は、EC2 [インスタンスプロファイルロール](iam-instanceprofile.md)を介して EC2 インスタンスに提供されます。

以下のセクションでは、どのサービスを使用するかに応じて、EC2 インスタンスプロファイルに追加する必要がある特定のアクセス許可を一覧表示します。「*IAM ユーザーガイド*」の「[ロールのアクセス許可ポリシーを更新する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-permissions.html)」に提供されている手順に従って、これらのアクセス許可を追加します。

**ECS マネージド Docker プラットフォームの IAM アクセス許可**  
ECS マネージド Docker プラットフォームには、このトピックで提供されているアクセス許可に対して追加の IAM アクセス許可が必要です。Elastic Beanstalk 環境変数のシークレットとの統合をサポートするために ECS マネージド Docker プラットフォーム環境に必要なすべてのアクセス許可の詳細については、「[実行ロール ARN 形式](create_deploy_docker_v2config.md#create_deploy_docker_v2config_executionRoleArn_format)」を参照してください。

**Topics**
+ [Secrets Manager で必要な IAM アクセス許可](#AWSHowTo.secrets.IAM-permissions.secrets-manager)
+ [Systems Manager Parameter Store に必要な IAM アクセス許可](#AWSHowTo.secrets.IAM-permissions.ssm-paramter-store)

## Secrets Manager で必要な IAM アクセス許可
<a name="AWSHowTo.secrets.IAM-permissions.secrets-manager"></a>

次のアクセス許可は、 AWS Secrets Manager ストアから暗号化されたシークレットを取得するアクセス許可を付与します。
+  secretsmanager:GetSecretValue 
+ kms:Decrypt

を復号するアクセス許可 AWS KMS key は、シークレットがデフォルトキーではなくカスタマーマネージドキーを使用する場合にのみ必要です。カスタムキー ARN の追加により、カスタマーマネージドキーを復号するアクセス許可が追加されます。

**Example Secrets Manager と KMS キーのアクセス許可を持つ ポリシー**    
****  

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}
```

## Systems Manager Parameter Store に必要な IAM アクセス許可
<a name="AWSHowTo.secrets.IAM-permissions.ssm-paramter-store"></a>

次のアクセス許可は、 パラメータストアから暗号化された AWS Systems Manager パラメータを取得するアクセス許可を付与します。
+ ssm:GetParameter
+ kms:Decrypt 

を復号するアクセス許可 AWS KMS key は、デフォルトキーではなくカスタマーマネージドキーを使用する`SecureString`パラメータタイプでのみ必要です。カスタムキー ARN の追加により、カスタマーマネージドキーを復号するアクセス許可が追加されます。暗号化されていない通常のパラメータタイプである `String`および には`StringList`、 は必要ありません AWS KMS key。

**Example Systems Manager と AWS KMS キーアクセス許可を持つ ポリシー**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}
```