投稿日: Mar 6, 2023
認証情報コントロールプロパティを使用して、EC2 の IAM ロールの使用をより簡単に制限できるようになりました。
EC2 の IAM ロールを使用すると、セキュリティ認証情報を直接管理しなくても、アプリケーションで API リクエストを安全に行うことができます。一時的な IAM 認証情報およびローテーション認証情報は、ロールに定義した権限でインスタンスのメタデータサービスに自動的にプロビジョニングされます。アプリケーションは、通常は AWS SDK または CLI を使用して、それらの一時的な認証情報を取得して使用します。
以前は、これらの認証情報を使用できるネットワークの場所を制限する場合、ロールポリシーまたは VPC エンドポイントポリシーにロールの VPC ID または IP アドレスをハードコーディングする必要がありました。これには管理オーバーヘッドが必要で、ロールや VPC などごとにさまざまなポリシーが必要になる可能性があります。
各ロール認証情報には、2 つの新しいプロパティがあります。 AWS グローバル条件キーです。これにより、当初発行されたインスタンスに関する情報が追加されました。これらのプロパティ (VPC ID とインスタンスのプライマリプライベート IP アドレス) は、IAM ポリシー、サービスコントロールポリシー(SCP)、VPC エンドポイントポリシー、またはリソースポリシーで使用して、認証情報の発信元と認証情報が使用されているネットワークの場所を比較できます。広く適用されるポリシーにより、ロール認証情報の使用を元の場所のみに制限できるようになりました。これらのポリシーの例は、このブログ記事にあります。IAM ロールを作成するときは、他の IAM プリンシパルと同様に、アプリケーションに必要な特定の API 呼び出しのみへのアクセスを制限する最小権限の IAM ポリシーを使用してください。
これらのプロパティは、AWS GovCloud (米国) リージョンを含むすべての AWS リージョンで利用できるようになりました。この機能は追加料金なしでご利用いただけます。EC2 の IAM の詳細については、ユーザーガイドを参照してください。Amazon EC2 のアクション、リソース、条件キーの詳細については、サービス認証リファレンスガイドを参照してください。