翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Identity and Access Management
<a name="tkv-iam"></a>

AWS Identity and Access Management (IAM) を使用すると、 AWS アカウント および リソースへのアクセスをより安全に管理できます。IAM を使用すると、プライマリ (*ルート*) に複数のユーザーを作成できます AWS アカウント。これらのユーザーは自分の認証情報 (パスワード、アクセスキー ID、およびシークレットキー) を持つことができますが、すべての IAM ユーザーは 1 つのアカウント番号を共有します。

ユーザーに IAMポリシーをアタッチして、IAM ユーザーのリソースアクセスのレベルを管理することができます。例えば、Amazon S3サービスおよびアカウントの関連リソースへのユーザーアクセスを付与するポリシーを IAMユーザーにアタッチすることができますが、他のサービスもしくはリソースへのアクセスはできません。

より効率的なアクセス管理を行うためには、ユーザーの集合である、IAM グループを作成できます。グループにポリシーをアタッチすると、そのグループのメンバーであるすべてのユーザーに反映されます。

IAMは、ユーザーおよびグループレベルでのアクセス許可の管理に加えて、IAMロールの概念もサポートしています。ユーザーおよびグループと同様に、IAM ロールにポリシーをアタッチすることができます。IAM ロールを Amazon EC2インスタンスに関連付けることができます。EC2 インスタンスで実行されるアプリケーションは、IAM ロールによって提供されるアクセス許可 AWS を使用して にアクセスできます。ツールキットでの IAM ロールの使用の詳細については、「[IAM ロールの作成](#create-an-iam-role-tkv)」を参照してください。IAM の詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/Welcome.html)を参照してください。

## IAM ユーザーを作成して設定する
<a name="tkv-create-an-iam-user"></a>

IAM ユーザーを使用すると、他のユーザーに へのアクセスを許可できます AWS アカウント。IAM ユーザーにポリシーをアタッチすることができるため、IAM ユーザーがアクセスできるリソースおよびそれらのリソースに実行できる操作を正確に制限することができます。

ベストプラクティスとして、 にアクセスするすべてのユーザーは、アカウントの所有者であっても、IAM ユーザーとしてアクセス AWS アカウント する必要があります。これにより、IAM ユーザーのうちの 1 人の認証情報が漏洩した場合でも、それらの認証情報のみを非アクティブ化することができます。アカウントのルート認証情報を非アクティブ化または変更する必要はありません。

Toolkit for Visual Studio からIAM ユーザーにアクセス許可を割り当てるには、ユーザーに IAM ポリシーをアタッチするか、ユーザーをグループに割り当てます。グループに割り当てた IAM ユーザーは、グループにアタッチされているポリシーからアクセス許可を引き継ぎます。詳細については、「[IAM グループを作成する](#create-an-iam-group-tkv)」と「[IAM グループに IAM ユーザーを追加する](#add-an-iam-user-to-an-iam-group-tkv)」を参照してください。

Toolkit for Visual Studio から、IAM ユーザーの AWS 認証情報 (アクセスキー ID とシークレットキー) を生成することもできます。詳細については、「[IAM ユーザーの認証情報を生成する](#generate-credentials-for-an-iam-user-tkv)」を参照してください。

![\[Dialog box for generating AWS credentials with options to create access key and download.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/inline-refresh-button.png)


Toolkit for Visual Studio は、 AWS Explorer を介してサービスにアクセスするための IAM ユーザー認証情報の指定をサポートしています。通常、IAM ユーザーにはすべての Amazon Web Services へのフルアクセスがないため、 AWS Explorer の一部の機能を利用できない場合があります。Explorer を使用してアクティブなアカウントが IAM ユーザーである間にリソースを変更し、アクティブなアカウントをルートアカウントに切り替えると、 AWS Explor AWS er でビューを更新するまで変更が表示されない場合があります。表示を更新するには、[Refresh (更新)] ボタンを選択します。

から IAM ユーザーを設定する方法については AWS マネジメントコンソール、IAM ユーザーガイドの[「ユーザーとグループの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html)」を参照してください。

 *IAM ユーザーを作成するには* 

1.  AWS Explorer でノードを展開し**AWS Identity and Access Management**、**ユーザーの**コンテキスト (右クリック) メニューを開き、**ユーザーの作成**を選択します。

1. **[Create User]** (ユーザーの作成) ダイアログボックスで IAM ユーザーの名前を入力して、**[OK]** を選択します。これは IAM の[フレンドリ名](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html)です。IAM ユーザー名の制約については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/LimitationsOnEntities.html)を参照してください。  
![\[Create User dialog box with Name field and OK/Cancel buttons.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-user-create-dlg.png)

新しいユーザーは **AWS Identity and Access Management** ノードの下の [**Users**] (ユーザー) の下のサブノードとして表示されます。

ポリシーを作成してユーザーにアタッチする方法については、「[IAM ポリシーを作成する](#tkv-create-an-iam-policy)」を参照してください。

## IAM グループを作成する
<a name="create-an-iam-group-tkv"></a>

グループは、IAMポリシーをユーザーの集合に適用する方法を提供します。IAM ユーザーおよびグループを管理する方法の詳細については、IAM ユーザーガイドの「[ユーザーおよびグループの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html)」を参照してください。

 *IAM グループを作成するには* 

1.  AWS Explorer の **Identity and Access Management** で、**Groups** のコンテキスト (右クリック) メニューを開き、Create **Group **を選択します。

1. **[Create Group]** (グループの作成) ダイアログボックスで IAM グループの名前を入力して、**[OK]** を選択します。  
![\[Dialog box for creating a group with a name field and OK and Cancel buttons.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-group-create-dlg.png)

新しい IAM グループは、**[Identity and Access Management]** の **[Groups]**] (グループ) サブノードの下に表示されます。

ポリシーを作成して IAM グループにアタッチする方法については、「[IAM ポリシーを作成する](#tkv-create-an-iam-policy)」を参照してください。

## IAM グループに IAM ユーザーを追加する
<a name="add-an-iam-user-to-an-iam-group-tkv"></a>

IAMグループのメンバーである IAMユーザーは、グループにアタッチされているポリシーからアクセス許可を引き継ぎます。IAMグループの目的は、IAMユーザーの集合全体のアクセス許可の管理を容易にすることです。

IAM グループにアタッチされたポリシーが、その IAM グループのメンバーである IAM ユーザーにアタッチされたポリシーと連携する方法の詳細については、IAM ユーザーガイドの「[IAM ポリシーを管理する](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html)」を参照してください。

 AWS Explorer では、Groups サブノードではなく Users サブノードから IAM ****グループに ****IAM ユーザーを追加します。

 *IAM グループに IAM ユーザーを追加するには* 

1.  AWS Explorer の **Identity and Access Management** で、**ユーザーの**コンテキスト (右クリック) メニューを開き、**編集**を選択します。  
![\[User interface for managing IAM groups, showing available and assigned groups for myIAMUser.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-group-assign.png)

1. **[Groups]** (グループ) タブの左ペインに、使用可能な IAM グループが表示されます。右側のペインには、指定された IAM ユーザーが既にメンバーであるグループが表示されます。

   IAM ユーザーをグループに追加するには、左側のペインで、IAM グループを選択し、**[>]** ボタンを選択します。

   IAM ユーザーをグループから削除するには、右側のペインで、IAM グループを選択し、**[<]** ボタンを選択します。

   IAM ユーザーをすべての IAM グループに追加するには、**[>>]** ボタンを選択します。同様に、IAM ユーザーをすべてのグループから削除するには、**[<<]** ボタンを選択します。

   複数のグループを選択するには、それらを順に選択します。コントロールキーを押しながら選択する必要はありません。グループを選択からクリアするには、再度選択します。

1. IAM ユーザーの IAM グループへの割り当てが完了したら、**[Save**] (保存) を選択します。

## IAMユーザーの認証情報を生成する
<a name="generate-credentials-for-an-iam-user-tkv"></a>

Toolkit for Visual Studioを使用すると、 AWSへの API 呼び出しを実行するために使用する、アクセスキー ID およびシークレットキーを生成できます。これらのキーは、ツールキットを使って Amazon Web Services にアクセスするために指定することもできます。Toolkit 用に認証情報を指定する方法については、「認証情報」を参照してください。認証情報を安全に処理する方法の詳細については、[AWS 「アクセスキーを管理するためのベストプラクティス](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)」を参照してください。

ツールキットは、IAM ユーザーのパスワードを生成するために使用することはできません。

 *IAM ユーザーの認証情報を生成するには* 

1.  AWS Explorer で、IAM ユーザーのコンテキスト (右クリック) メニューを開き、**編集**を選択します。  
![\[IAM ユーザー details window showing Access Keys tab with two active keys and their creation dates.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-user-creds-list.png)

1. 認証情報を生成するには、[**Access Keys (アクセスキー)**] タブで、[**Create (作成)**] を選択します。

   IAM ユーザーごとに 2 セットのみの認証情報を生成できます。2 セットの認証情報が既にあり、追加のセットを作成する必要がある場合は、既存のセットのいずれかを削除する必要があります。  
![\[Access Keys dialog showing Access Key ID and Secret Access Key fields with an option to save locally.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-user-creds-create.png)

   Toolkit でシークレットアクセスキーの暗号化されたコピーをローカルドライブに保存する場合は、シー**クレットアクセスキーをローカルに保存を選択します。 は作成時に AWS のみシークレットアクセスキーを返します**。ダイアログボックスからシークレットアクセスキーをコピーして、それを安全な場所に保存することもできます。

1. [**OK**] を選択してください。

認証情報を生成した後、それを [**Access Keys (アクセスキー)**] タブから表示できます。ツールキットでシークレットキーをローカルに保存するオプションを選択した場合は、ここに表示されます。

![\[Access Keys tab showing an active key with ID, status, creation date, and secret key options.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-user-show-creds.png)


自分でシークレットキーを保存した場合で、ツールキットでもそれを保存する場合は、[**Secret Access Key (シークレットアクセスキー)**] ボックスにシークレットアクセスキーを入力し、[**Save the secret access key locally (シークレットアクセスキーをローカルに保存)**] を選択します。

認証情報を無効化するには、[**Make Inactive (無効化)**] を選択します。(認証情報の漏洩が疑われる場合は、これを実行します。 認証情報が安全であることが確認できたら、再アクティブ化することができます)。

## IAM ロールを作成します。
<a name="create-an-iam-role-tkv"></a>

Toolkit for Visual Studio では、IAM ロールの作成および設定をサポートしています。ユーザーおよびグループと同様に、IAM ロールにポリシーをアタッチすることができます。IAM ロールを Amazon EC2 インスタンスに関連付けることができます。EC2 インスタンスとの関連付けは、*インスタンスプロファイル*を介して処理されます。これはロールの論理コンテナです。EC2 インスタンスで実行されるアプリケーションは、IAM ロールに関連付けられたポリシーによって指定されるアクセスのレベルを自動的に付与されます。これは、アプリケーションが他の AWS 認証情報を指定していない場合でも当てはまります。

例えば、ロールを作成して、Amazon S3 のみへのアクセスに制限するポリシーをそのロールにアタッチできます。このロールを EC2 インスタンスに関連付けた後、そのインスタンスでアプリケーションを実行すると、アプリケーションは Amazon S3 にアクセスできますが、他のサービスまたはリソースにはアクセスできません。このアプローチの利点は、EC2 インスタンスで AWS 認証情報を安全に転送して保存する必要がないことです。

IAM ロールの詳細については、IAM ユーザーガイドの「[IAM ロールを使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html)」を参照してください。Amazon EC2 インスタンスに関連付けられた IAM ロール AWS を使用して にアクセスするプログラムの例については、[Java](https://docs.aws.amazon.com//sdk-for-java/latest/developer-guide/ec2-iam-roles.html)、[.NET](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html)、[PHP](https://docs.aws.amazon.com/sdk-for-php/v3/developer-guide/guide_credentials_assume_role.html)、Ruby ([IAM を使用した認証情報の設定](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/setup-config.html#aws-ruby-sdk-credentials-iam)、[IAM ロールの作成](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/iam-example-create-role.html)、[IAM ポリシーの使用) ](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/iam-example-working-with-policies.html)の AWS 開発者ガイドを参照してください。

 *IAM ロールを作成するには* 

1.  AWS Explorer の **Identity and Access Management** で、**ロール**のコンテキスト (右クリック) メニューを開き、**ロールの作成**を選択します。

1. **[Create Role]** (ロールの作成) ダイアログボックスで IAM ロールの名前を入力して、**[OK]** を選択します。  
![\[Dialog box for creating a role with a name field and OK/Cancel buttons.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-role-create-dlg.png)

新しい IAM ロールは **[Identity and Access Management]** の **[Roles]** (ロール) の下に表示されます。

ポリシーを作成してロールにアタッチする方法については、「[IAM ポリシーを作成する](#tkv-create-an-iam-policy)」を参照してください。

## IAM ポリシーの作成
<a name="tkv-create-an-iam-policy"></a>

ポリシーは IAM にとって非常に重要です。ポリシーは IAM *エンティティ* (ユーザー、グループ、ロールなど) に関連付けることができます。ポリシーによって、ユーザー、グループ、またはロールに対して有効にする、アクセスのレベルを指定できます。

 *IAM ポリシーを作成するには* 

 AWS Explorer で、**AWS Identity and Access Management**ノードを展開し、ポリシーをアタッチするエンティティのタイプ (**グループ**、**ロール**、または**ユーザー**) のノードを展開します。例えば、IAM ロールのコンテキストメニューを開き、**[Edit]** (編集) を選択します。

ロールに関連付けられたタブが AWS Explorer に表示されます。[**Add Policy (ポリシーの追加)**] リンクを選択します。

[**New Policy Name (新しいポリシー名)**] ダイアログボックスで、ポリシーの名前 (たとえば s3-access) を入力します。

![\[Dialog box for entering a new policy name, with "s3-access" typed in the input field.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-policy-create-dlg.png)


ポリシーエディタで、ポリシーステートメントを追加して、ロールに提供するアクセスレベルを指定します (この例では、ポリシーに関連付けられている winapp-instance-role-2 です)。この例では、ポリシーは Amazon S3 へのフルアクセスを提供しますが、他のリソースへのアクセス権は提供しません。

![\[Policy editor interface showing allowed actions for Amazon S3 in the winapp-instance-role-2 role.\]](http://docs.aws.amazon.com/ja_jp/toolkit-for-visual-studio/latest/user-guide/images/iam-policy-specify.png)


より正確なアクセス制御には、ポリシーエディタでサブノードを展開して、Amazon Web Services に関連付けられたアクションを許可または拒否します。

ポリシーを編集したら、[**Save (保存)**] リンクを選択します。