IAM ユーザーの Amazon Lightsail へのアクセスを管理する

更新日: 2019 年 5 月 20 日

AWS アカウントのルートユーザー、管理者アクセス権限を持つ AWS Identity and Access Management (IAM) ユーザーは、AWS アカウントに 1 つ以上の IAM ユーザーを作成することができ、これらのユーザーは、AWS が提供するサービスへのアクセス権限をさまざまなレベルで設定できます。

Amazon Lightsail では、Lightsail サービスにのみアクセスできる IAM ユーザーを作成できます。Lightsail リソースを表示、作成、編集、または削除するためのアクセス許可を必要としているが AWS が提供する他のサービスへのアクセス許可を必要としない誰かがチームに加わるときに、これを行います。これを設定するにはまず、Lightsail へのアクセス許可を付与する IAM ポリシーを作成する必要があります。その後、IAM グループを作成し、ポリシーをそのグループにアタッチします。その後、IAM ユーザーを作成してグループのメンバーにします。これにより、Lightsail へのアクセス許可が付与されます。

誰かがチームを去るとき、たとえばその人物が、あなたのチームを離れるが引き続き会社に勤める場合、Lightsail アクセスグループからそのユーザーを削除して、Lightsail へのアクセスを取り消すことができます。または、たとえばユーザーが退社して今後アクセス権限を必要としない場合、IAM からユーザーを削除できます。

目次

Lightsail アクセスのための IAM ポリシーを作成する

Lightsail のための IAM ポリシーを作成するには、以下の手順に従います。詳細については、IAM ドキュメントの IAM ポリシーの作成を参照してください。

  1. IAM コンソールにサインインします。

  2. 左のナビゲーションペインの [ポリシー] を選択します。

  3. [Create Policy (ポリシーの作成)] を選択します。

  4. [Create Policy (ポリシーの作成)] ページで、[JSON] タブを選択します。

    IAM コンソールの [JSON] タブ。
  5. テキストボックスの内容をハイライトしてから、次のポリシー構成テキストをコピーして貼り付けます。

    {
     "Version": "2012-10-17",
     "Statement": [
     {
     "Effect": "Allow",
     "Action": [
     "lightsail:*"
     ],
     "Resource": "*"
     }
     ]
    }
    

    結果は次の例のようになります。

    Lightsail へのアクセス許可のポリシーが挿入された IAM コンソールの [JSON] タブ。

    これにより、すべての Lightsail アクションおよびリソースへのアクセス許可を付与します。VPC ピアリングの有効化、Lightsail スナップショットの Amazon EC2 へのエクスポート、Lightsail を使用した Amazon EC2 リソースの作成など、AWS が提供する他のサービスへのアクセスを必要とするアクションには、このポリシーに含まれない追加の権限が必要です。詳細については、以下のガイドを参照してください。

    重要

    アクション固有およびリソース固有の許可は、現在 Lightsail コンソールではサポートされていません。特定の Lightsail アクションまたはリソースへのアクセスを許可するポリシーを設定した場合、ユーザーが Lightsail コンソールにサインインすると 403 エラーが表示されます。

  6. [ポリシーの確認] を選択します。

  7. [ポリシーの確認] ページで、ポリシー名を選択します。分かりやすい名前 (例: LightsailFullAccessPolicy) をつけます。

  8. 説明を追加し、ポリシー設定を確認します。変更が必要な場合は、[戻る] を選択してポリシーを変更します。

    IAM コンソールの [ポリシーの確認] ページ。
  9. ポリシーの設定が正しいことを確認したら、[Create Policy (ポリシーの作成)] を選択します。

    これでポリシーが作成され、既存の IAM グループに追加することも、このガイドの次のセクションの手順に従って、新しい IAM グループを作成することもできます。

Lightsail アクセス許可の IAM グループを作成し、Lightsail アクセスポリシーをアタッチする

Lightsail アクセス許可のために IAM グループを作成し、本ガイドの前出のセクションで作成した Lightsail アクセスポリシーをアタッチするには、この手順に従います。詳細については、IAM ドキュメントの「IAM グループの作成」および「IAM グループへのポリシーのアタッチ」を参照してください。

  1. IAM コンソールの左側のナビゲーションペインで [グループ] を選択します。

  2. [Create New Group (新しいグループの作成)] を選択します。

  3. [Set Group Name (グループ名の設定)] ページで、グループを選択します。分かりやすい名前 (例: LightsailFullAccessGroup) をつけます。

  4. [Attach Policy (ポリシーのアタッチ)] ページで、本ガイドで作成した Lightsail ポリシー (例: LightsailFullAccessPolicy) を検索します。

  5. ポリシーの横にチェックマークを追加し、[Next step (次のステップ)] を選択します。

  6. グループの設定を確認します。変更が必要な場合は、[戻る] を選択してグループのポリシーを変更します。

  7. グループの設定が正しいことを確認したら、[グループの作成] を選択します。

    これでグループが作成され、グループに追加されたユーザーは Lightsail のアクションとリソースにアクセスできるようになります。本書の後のセクションのステップを使用して、既存の IAM ユーザーをグループに追加するか、新しい IAM ユーザーを作成することができます。

IAM ユーザーを作成して、そのユーザーを Lightsail アクセスグループに追加する

IAM ユーザーを作成して、そのユーザーを Lightsail アクセスグループに追加するには、次のステップに従います。詳細については、IAM ドキュメントの「AWS アカウントで IAM ユーザーを作成する」および「IAM グループでユーザーを追加または削除する」を参照してください。

  1. IAM コンソールの左側のナビゲーションペインで、[ユーザー] を選択します。

  2. [Add user (ユーザーの追加)] を選択します。

  3. ページの [Set user details (ユーザー詳細の設定)] セクションで、ユーザー名をつけます。

  4. ページの [Select AWS access type (AWS アクセスタイプの選択)] セクションで、次のオプションから選択します。

    1. [Programmatic Access (プログラムによるアクセス)] を選択して、AWS API、CLI、SDK、その他の開発ツールのアクセスキー ID とシークレットアクセスキーを有効にし、Lightsail アクションまたはリソースで使用できるようにします。詳細については、「Amazon Lightsail と連携するための AWS Command Line Interface の設定」を参照してください。

    2. [AWS Management Console access (AWS マネジメントコンソールへのアクセス)] を選択すると、パスワードを有効にし、ユーザーが AWS マネジメントコンソール、つまり Lightsail コンソールにサインインするのを許可します。このオプションが選択されたとき、次のパスワードオプションが表示されます。

      1. [Autogenerated password (自動生成パスワード)] を選択すると IAM がパスワードを生成し、また、[Custom password (カスタムパスワード)] を選択すると独自のパスワードを入力できます。

      2. [Require password reset (パスワードのリセットが必要)] を選択すると、次回のログイン時にユーザーが新しいパスワードを作成します (パスワードをリセットする)。

      注意

      [Programmatic Access (プログラムを使用したアクセス)] のみを選択した場合、ユーザーは AWS コンソール、および Lightsail コンソールにサインインできません。

  5. [Next: Permissions (次へ: アクセス許可)] を選択します。

  6. ページの [Set permissions (許可を設定)] セクションで [ユーザーをグループに追加] を選択して、本ガイドの前半で作成した Lightsail アクセスグループ (例: LightsailFullAccessGroup) を選択します。

    IAM コンソールのグループにユーザーを追加する
  7. [次へ: タグ] を選択します。

  8. (オプション) タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの仕様について詳細は、「IAM エンティティのタグ付け」を参照してください。

  9. [Next: Review (次へ: レビュー)] を選択します。

  10. ユーザー設定を確認します。変更が必要な場合は、[戻る] を選択してユーザーのグループまたはポリシーを変更します。

  11. ユーザーの設定が正しいことを確認したら、[ユーザーの作成] を選択します。

    ユーザーが作成され、作成されたユーザーに Lightsail へのアクセスが付与されます。ユーザーの Lightsail アクセスを取り消すには、Lightsail アクセスグループからユーザーを削除します。詳細については、IAM ドキュメントの「IAM グループでユーザーを追加または削除する」を参照してください。

  12. ユーザーの認証情報を取得するには、以下のオプションを選択します。

    1. ユーザー名、パスワード、アクセスキー ID、シークレットアクセスキー、アカウントへの AWS コンソールログインリンクを含むファイルをダウンロードするには、[Download .csv] を選択します。

    2. [シークレットアクセスキー] で [表示] を選択すると、プログラム (AWS API、CLI、SDK、その他の開発ツール) を使用して Lightsail にアクセスするのに使用できるアクセスキーが表示されます。

      重要

      シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップを行った後に、シークレットキーに再度アクセスすることはできません。

    3. [パスワード] で [表示] を選択すると、IAM により生成されている場合は、ユーザーのパスワードが表示されます。ユーザーが初回サインインできるように、ユーザーにパスワードを提供する必要があります。

    4. [E メールを送信する] を選択すると、Lightsail へのアクセス許可が付与されたことを知らせる E メールがユーザーに送られます。

      IAM ユーザーが正常に作成されたことの確認。