AWS 認証の構成

オンライン編集

プラットフォームで CloudWatch データ・ソースを構成する前に、 AWS ユーザー・アカウントのアクセス資格情報の値を取得する必要があります。 AWS 認証を構成し、必要な値を取得するには、必要な認証のタイプに基づいて手順を実行します。

始める前に

  1. AWS 管理コンソールに管理者としてログインします。
  2. 「サービス」 タブで、 IAMを検索して選択します。

鍵ベースの認証の場合は、手順 1 から手順 4 を実行します。 役割ベースの認証の場合は、グループ・ステップなしで手順ステップ 1 からステップ 6 を実行します。

このタスクについて

AWS Identity and Access Management (IAM) は、 AWS リソースへのアクセスを安全に制御するのに役立つ Web サービスです。 IAM を使用して、 CloudWatch データ・ソースとプラットフォーム間の接続の使用を認証および許可するユーザーを制御します。

鍵ベースの認証の場合、アクセス・キー値は、接続を確立するデータ・ソースを一意的に識別します。 この値は、接続要求の認証に必要です。 役割ベースの認証では、追加のパラメーター値が必要です。

IAM 役割ベースの認証は、 AssumeRole アクセスに対して機能します。これは、通常はアクセスできない可能性がある AWS リソースにアクセスするために使用できる一時セキュリティー資格情報のセットを提供します。

詳しくは、 AWS Identity and Access Management Documentation (https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) を参照してください。

手順

  1. ポリシーを作成します。
    1. メインメニューから、 「ポリシー」をクリックします。
    2. 「ポリシー」 タブで、 「ポリシーの作成」をクリックします。
    3. サービス CloudWatch ログを選択します。
    4. 「リスト」 アクセス・レベル・メニューから、 DescribeLog「グループ」を選択します。
    5. 「読み取り」 アクセス・レベル・メニューから、 StartQueryGetQueryResults、および StopQueryを選択します。
    6. 「リソース」 メニューから、 「すべてのリソース」を選択します。あるいは、特定のログ・グループにアクセスする場合は、 「特定」を選択します。
    7. 「ポリシーの確認」をクリックします。
    8. ポリシー名を入力し、 「ポリシーの作成」をクリックします。
  2. グループを作成します。
    1. メインメニューから 「グループ」をクリックします。
    2. 「グループ」 タブで、 「グループの作成」をクリックします。
    3. グループの名前を入力して、 「次へ」をクリックします。
    4. ステップ 1 で作成したポリシーを添付するには、チェック・ボックスを選択し、 「次へ」をクリックします。
    5. 「グループの作成」をクリックします。
  3. ユーザーを作成します。
    1. メインメニューから、 「ユーザー」をクリックします。
    2. 「ユーザー」 タブで、 「ユーザーの追加」をクリックします。
    3. ユーザー名の入力。
    4. 「プログラマチック・アクセス」 チェック・ボックスにチェック・マークを付けます。
    5. 「許可」 タブで、ステップ 2 で作成したグループを選択します。
    6. 「タグ」 タブで、必要に応じてタグ・キーと値を追加します。
    7. 「レビュー」をクリックします。
    8. 「ユーザーの作成」をクリックします。
  4. 基本セキュリティー資格情報を作成します。
    1. ユーザーの 「セキュリティー資格情報」 タブで、アクセス・キーを作成します。
    2. セキュリティー資格情報の .csv ファイルをダウンロードして、安全な場所に保管します。

      秘密アクセス・キーは、作成時にのみ表示できます。

  5. IAM 役割を作成します。
    1. メインメニューから、 「役割」を選択します。
    2. 「役割の作成」をクリックします。
    3. 「別の AWS アカウント」を選択します。
    4. ステップ 3 で作成したユーザーのアカウント ID を入力し、 「Next: Permissions」をクリックします。
    5. ステップ 1 で作成したポリシーを選択し、 「Next: Tags」をクリックします。
    6. 必要に応じてタグ・キーと値を追加し、 「次: レビュー (Next: Review)」をクリックします。
    7. 役割名を入力し、情報を確認して、 「役割の作成」をクリックします。
  6. 信頼関係を作成します。
    1. ステップ 5 で作成した IAM 役割を選択します。
    2. 「要約」ページで、役割 ARN (Amazon Resource Name)の値をメモします。
    3. 「信頼関係」 タブを選択し、 「信頼関係の編集」をクリックします。

      デフォルトでは、root ユーザーは主成分セクションに追加されます。

    4. 「プリンシパル」 値を、ステップ 3 で作成したユーザーの値で更新します。
    5. 「トラスト・ポリシーの更新」をクリックします。

      ほとんどのリソースには、分かりやすい名前が付いています (例えば、Bob という名前のユーザーや Developers という名前のグループ)。 ただし、パーミッション・ポリシー言語では、 Amazon Resource Name (ARN) 形式を使用してリソースを指定する必要があります。