aws-recipe-user こんにちは!中の人です。
前回は、「Amazon IAM編~IAMを使ってみよう!パート①~」をお話させて頂きました!
今回も引き続き、「Amazon IAM編~IAMを使ってみよう!パート②~」ということで、
「IAM(Identity and Access Management)について」をお話していきます。
今回のパート②では、 以下の様なユーザーを設定例としてAmazon IAMを作成します。
・S3+CloudFrontを利用したWebサイト「sample.com」に対して、
CloudFrontのみ操作できるアカウントを作成します。
・コンテンツ更新時にキャッシュを手動削除できるように、
CloudFrontからInvalidationのみを許可します。
では実際に設定をしてみましょう!
1. Management Consoleの「IAM」から「Create a New Group of User」をクリックするとウィザードが立ち上がります。
以下のようなステップで設定をおこないます。
■Step2-2の設定情報
< Edit Permissions の設定前の情報>
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
{ "Statement": [ { "Action": [ "s3:ListAllMyBuckets" ], "Effect": "Allow", "Resource": "arn:aws:s3:::*" }, { "Action": [ "cloudfront:*" ], "Effect": "Allow", "Resource": "*" } ] } < Edit Permissions の変更後の情報> { "Statement": [ { "Action": [ "s3:ListAllMyBuckets" ], "Effect": "Allow", "Resource": "arn:aws:s3:::*" }, { "Action": [ "cloudfront:CreateInvalidation", "cloudfront:ListInvalidations", "cloudfront:GetInvalidation", "cloudfront:ListDistributions", "cloudfront:GetDistribution", "cloudfront:ListStreamingDistributions", "cloudfront:GetStreamingDistribution" ], "Effect": "Allow", "Resource": "*" } ] } |
これで、設定作業は完了です!
では早速、新しく作成したアカウントでログインしてみましょう。
2. 以下、自分のIAMユーザーログイン用URLからログイン(※パスワードも入力します)
3. 通常のManagement Consoleと同じ画面が確認できると思います。
試しにEC2のinstancesをクリックしてみましょう。
インスタンス一覧部分に「You are not authorized to perform this operation.」と
表示されるが確認できます。
4. ServiceからCloudFrontを選択します。
5. 一通りの機能は選択することができますが、Edit等を行った時に上記と同じようにエラーが発生します。
6. Invalidationのみ通常の操作が出来る事が確認できると思います。
更に様々な設定できる内容については、下記で確認することができます。
いかがでしたでしょうか?
IAMを利用することでサービスだけでなく、アクションや対象まで指定することが出来ますので、
色々な設定を試してみて下さい。
次回は「Amazon CloudFront編~CloudFrontを使ってサイトを公開してみよう~」と題して、
Amazon CloudFrontを使ったサイトの公開方法についてお話していきたいと思います。
お楽しみに!
