EC2 インスタンスを AMS アカウントの S3 バケットへの書き込みアクセスを許可 - AWS 規範ガイダンス
概要前提条件と制限事項アーキテクチャツールエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EC2 インスタンスを AMS アカウントの S3 バケットへの書き込みアクセスを許可

Amazon Web Services、Mansi Suratwala

概要

AWS Managed Services (AMS) は、 AWS インフラストラクチャをより効率的かつ安全に運用するのに役立ちます。AMS アカウントには、 AWS リソースの標準化された管理のためのセキュリティガードレールがあります。ガードレールの 1 つは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスプロファイルではデフォルトで Amazon Simple Storage Service (Amazon S3) バケットへの書き込みアクセスを許可しないことです。ただし、組織には複数の S3 バケットがあり、EC2 インスタンスによるアクセスをより細かく制御する必要がある場合があります。たとえば、EC2 インスタンスのデータベースバックアップを S3 バケットに保存できます。

このパターンは、変更要求 (RFC) を使用して EC2 インスタンスに AMS アカウントの S3 バケットへの書き込みアクセスを許可する方法を説明します。RFC は、管理対象環境を変更するためにユーザーまたは AMS が作成したリクエストで、特定の操作の「変更タイプ」(CT) ID が含まれます。

前提条件と制限事項

前提条件

  • AMS Advanced アカウント。詳細については、AMS ドキュメントの「AMS operations plans」を参照してください。 

  • RFCs を送信するための AWS Identity and Access Management (IAM) customer-mc-user-roleロールへのアクセス。 

  • AWS Command Line Interface (AWS CLI)、AMS アカウントの EC2 インスタンスでインストールおよび設定されます。 

  • AMS で RFC を作成して提出する方法に対する理解。詳細については、AMS ドキュメントの「What are AMS change types?」を参照してください。

  • 手動変更タイプと自動変更タイプ (CT) に対する理解。詳細については、AMS ドキュメントの「Automated and manual CTs」を参照してください。

アーキテクチャ

テクノロジースタック

  • AMS

  • AWS CLI

  • Amazon EC2

  • Amazon S3

  • IAM

ツール

  • AWS Command Line Interface (AWS CLI) は、コマンドラインシェルのコマンド AWS のサービス を通じて を操作するのに役立つオープンソースツールです。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用する権限を付与するかを制御することで、 AWS リソースへのアクセスを安全に管理するのに役立ちます。

  • AWS Managed Services (AMS) は、AWS インフラストラクチャをより効率的かつ安全に運用するのに役立ちます。 

  • Amazon Simple Storage Service (Amazon S3) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。

  • Amazon Elastic Compute Cloud (Amazon EC2) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。仮想サーバーを必要な数だけ起動して、迅速にスケールアップまたはスケールダウンができます。

エピック

タスク説明必要なスキル

自動 RFC を使用して S3 バケットを作成します。

  1. AMS アカウントにサインインし、[Choose change type] ページを選択し、[RFC] を選択して、[Create RFC] を選択します。 

  2. Create S3 Bucket automated RFC を提出します。 

注記

S3 バケットの名前は必ず記録してください。

AWS システム管理者、AWS 開発者
タスク説明必要なスキル

手動 RFC を提出して IAM ロールを作成します。

AMS アカウントがオンボーディングされると、デフォルトの IAM インスタンスプロファイルが customer-mc-ec2-instance-profile という名前で作成され、AMS アカウント内の各 EC2 インスタンスに関連付けられます。ただし、インスタンスプロファイルには S3 バケットへの書き込み権限はありません。

書き込みのアクセス許可を追加するには、IAM リソースの作成の手動 RFC を送信し、customer_ec2_instance_customer_deny_policycustomer_ec2_s3_integration_policy の 3 つのポリシーを持つ IAM ロールを作成します。 

重要

customer_ec2_instance_customer_deny_policy のポリシーはお使いの AMS アカウントに既にあります。ただし、次のサンプルポリシーを使用して customer_ec2_s3_integration_policy を作成する必要があります。

{
  "Version": "2012-10-17",		 	 	 
   "Statement": [
    {
      "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ec2.amazonaws.com"
      },
       "Action": "sts:AssumeRole"
    }
  ]
}
 
Role Permissions:
{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
        {
             "Action": [
                 "s3:ListBucket",
                 "s3:GetBucketLocation"
            ],
             "Resource": "arn:aws:s3:::",
             "Effect": "Allow"
        },
        {
             "Action": [
                 "s3:GetObject",
                 "s3:PutObject",
                 "s3:ListMultipartUploadParts",
                 "s3:AbortMultipartUpload"
            ],
             "Resource": "arn:aws:s3:::/*",
             "Effect": "Allow"
        }
    ]
}
AWS システム管理者、AWS 開発者

IAM インスタンスプロファイルを置き換えるには、手動 RFC を提出してください。

手動 RFC を提出して、ターゲット EC2 インスタンスを新しい IAM インスタンスプロファイルに関連付けます。

AWS システム管理者、AWS 開発者

S3 バケットへのコピー操作をテストします。

AWS CLIで次のコマンドを実行し、S3 バケットへのコピー操作をテストします。

aws s3 cp test.txt s3://<S3 bucket>/test2.txt
AWS システム管理者、AWS 開発者

関連リソース