AWS アクセスキーを使用して AWS SDK とツールを認証する - AWS SDK とツール
短期の認証情報を使用します長期認証情報の使用

AWS アクセスキーを使用して AWS SDK とツールを認証する

AWS アクセスキーの使用は、AWS SDK とツールを使用する場合の認証のオプションです。

短期の認証情報を使用します

セッション期間の長いオプションを使用するには、IAM Identity Center を使用して AWS SDK とツールを認証する を使用するように SDK またはツールを設定することをお勧めします。

ただし、SDK またはツールの一時認証情報を直接設定する方法については、「短期認証情報を使用して AWS SDK とツールを認証する」を参照してください。

長期認証情報の使用

警告

セキュリティリスクを避けるため、専用ソフトウェアの開発や実際のデータを扱うときは、IAM ユーザーを認証に使用しないでください。代わりに、AWS IAM Identity Center などの ID プロバイダーとのフェデレーションを使用してください。

AWS アカウント全体のアクセスを管理する

セキュリティのベストプラクティスとして、AWS Organizations と IAM Identity Center を使用して、すべての AWS アカウントにわたってアクセスを管理することをお勧めします。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティベストプラクティス」を参照してください。

IAM Identity Center でユーザーを作成するか、Microsoft Active Directory を使用するか、SAML 2.0 ID プロバイダー (IdP) を使用するか、または IdP を AWS アカウントに個別にフェデレーションすることができます。これらのアプローチのいずれかを使用して、ユーザーにシングルサインオンのエクスペリエンスを提供できます。多要素認証 (MFA) を強制し、AWS アカウントへのアクセスに一時的な認証情報を使用することもできます。これは IAM ユーザーとは異なります。IAM ユーザーは、共有できる長期的な認証情報であり、AWS リソースに対するセキュリティリスクが高まる可能性があります。

サンドボックス環境専用の IAM ユーザーを作成する

AWS を初めて使用する場合は、テスト IAM ユーザーを作成し、これを使用してチュートリアルを実行することで、AWS が提供するサービスを調べることができます。学習中はこの種の資格情報を使用しても問題ありませんが、サンドボックス環境以外では使用しないことをお勧めします。

以下のユースケースでは、AWS で IAM ユーザーの使用を開始することが理にかなっている場合があります。

  • サンドボックス環境で AWS SDK やツールの使用を開始して AWS のサービスを調べる。

  • 学習の一環として、人間によるサインインプロセスをサポートしない、スケジュールされたスクリプト、ジョブ、その他の自動プロセスを実行する。

これらのユースケース以外で IAM ユーザーを使用している場合は、できるだけ早く IAM Identity Center に移行するか、ID プロバイダーを AWS アカウントにフェデレーションしてください。詳細については、「AWS での ID フェデレーション」を参照してください。

IAM ユーザーのアクセスキーを保護する

IAM ユーザーのアクセスキーは定期的に更新する必要があります。「IAM ユーザーガイド」の「Manage access keys for IAM users」のガイダンスに従ってください。IAM ユーザーのアクセスキーを誤って共有したと思われる場合は、アクセスキーを更新してください。

IAM ユーザーのアクセスキーは、ローカルマシンの共有の AWS credentials ファイルに保存する必要があります。IAM ユーザーのアクセスキーをコードに保存しないでください。IAM ユーザーのアクセスキーを含む設定ファイルは、いずれのソースコード管理ソフトウェアにも含めないでください。オープンソースプロジェクトの git-secrets などの外部ツールを使用すると、機密情報を誤って Git リポジトリにコミットすることを防ぐことができます。詳細については、「IAM ユーザーガイド」の「IAM アイデンティティ (ユーザー、ユーザーグループ、ロール)」を参照してください。

はじめに IAM ユーザーを設定するには、「 長期認証情報を使用して AWS SDK とツールを認証する」を参照してください。