翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM Roles Anywhere を使用した AWS SDKsとツールの認証
<a name="access-rolesanywhere"></a>

IAM Roles Anywhere を使用して、 の外部で実行されるサーバー、コンテナ、アプリケーションなどのワークロードの一時的なセキュリティ認証情報を IAM で取得できます AWS。IAM Roles Anywhere を使用するには、ワークロードで X.509 証明書を使用する必要があります。IAM Roles Anywhere を認証情報プロバイダーとして設定するのに必要な証明書とプライベートキーは、クラウド管理者が提供する必要があります。

## ステップ 1：IAM Roles Anywhere を設定します
<a name="config-ira"></a>

IAM Roles Anywhere は、 の外部で実行されるワークロードまたはプロセスの一時的な認証情報を取得する方法を提供します AWS。認証機関との間でトラストアンカーが確立され、関連する IAM ロールの一時的な認証情報を取得できます。このロールは、コードが IAM Roles Anywhere で認証されるときにワークロードが持つアクセス許可を設定します。

トラストアンカー、IAM ロール、IAM Roles Anywhere プロファイルを設定する手順については、IAM Roles Anywhere *ユーザーガイド*の[AWS Identity and Access Management 「Roles Anywhere でのトラストアンカーとプロファイルの作成](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)」を参照してください。

**注記**  
「*IAM Roles Anywhere ユーザーガイド*」の*プロファイル*は、IAM Roles Anywhere サービス内の独特の概念を指しています。共有 AWS `config`ファイル内のプロファイルとは関係ありません。

## ステップ 2：IAM Roles Anywhere の使用
<a name="use-ira"></a>

IAM Roles Anywhere から一時的なセキュリティ認証情報を取得するには、IAM Roles Anywhere にある認証情報ヘルパーツールを使用してください。この認証情報ツールは IAM Roles Anywhere の署名プロセスを実装します。

認証情報ヘルパーツールをダウンロードする手順については、IAM [AWS Identity and Access Management Roles Anywhere ユーザーガイドの「Roles Anywhere から一時的なセキュリティ認証情報を取得する](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/credential-helper.html)**」を参照してください。

 AWS SDKs と で IAM Roles Anywhere の一時的なセキュリティ認証情報を使用するには AWS CLI、共有 AWS `config`ファイルで `credential_process` 設定を設定できます。SDKs と は、 が認証`credential_process`に使用するプロセス認証情報プロバイダー AWS CLI をサポートします。`credential_process` を設定する一般的な構造を以下に示します。

```
credential_process = [path to helper tool] [command] [--parameter1 value] [--parameter2 value] [...]  
```

ヘルパーツールの `credential-process` コマンドは、`credential_process` 設定と互換性のある標準 JSON 形式で一時的な認証情報を返します。コマンド名にはハイフンが含まれていますが、設定名にはアンダースコアが含まれていることに注意してください。コマンドには以下のパラメータが必要となります。
+ `private-key` – リクエストに署名したプライベートキーへのパス。
+ ` certificate` – 証明書へのパス。
+ `role-arn` – 一時的な認証情報を取得するロールの ARN。
+ `profile-arn` – 指定されたロールのマッピングを行うプロファイルの ARN。
+ `trust-anchor-arn` – 認証に使用するトラストアンカーの ARN。

クラウド管理者は、証明書とプライベートキーを提供する必要があります。3 つの ARN 値はすべて AWS マネジメントコンソールからコピーできます。次の例は、ヘルパーツールから一時的な認証情報を取得するように設定した共有 `config` ファイルを示しています。

```
[profile dev]
credential_process = ./aws_signing_helper credential-process --certificate /path/to/certificate --private-key /path/to/private-key --trust-anchor-arn arn:aws:rolesanywhere:region:account:trust-anchor/TA_ID --profile-arn arn:aws:rolesanywhere:region:account:profile/PROFILE_ID --role-arn arn:aws:iam::account:role/ROLE_ID
```

 オプションのパラメータとその他のヘルパーツールの詳細については、GitHub の「[IAM Roles Anywhere 認証情報ヘルパー](https://github.com/aws/rolesanywhere-credential-helper#readme)」を参照してください。

SDK 設定自体とプロセス認証情報プロバイダーの詳細については、このガイドの「[プロセス認証情報プロバイダー](feature-process-credentials.md)」を参照してください。