# IAM ユーザーのサービス固有の認証情報
<a name="id_credentials_service-specific-creds"></a>

サービス固有の認証情報は、特定のAWS サービス用に設計された特殊な認証メカニズムです。これらの認証情報は、標準のAWS 認証情報と比較して認証が簡素化されており、個々のAWS サービスの認証要件に合わせて調整されます。複数のAWS サービスで使用できるアクセスキーとは異なり、サービス固有の認証情報は、作成されたサービスでのみ使用するように設計されています。このターゲットを絞ったアプローチにより、認証情報の適用範囲を制限することでセキュリティを強化します。

サービス固有の認証情報は通常、特定のサービスの要件に従ってフォーマットされたユーザー名とパスワードのペアまたは特殊な API キーで構成されます。サービス固有の認証情報を作成すると、デフォルトでアクティブになるため直ぐに使用できます。サポート対象の各サービスでは、IAM ユーザーごとにサービス固有の認証情報を最大 2 セット設定できます。この制限により、必要に応じて新しいセットにローテーションしながら、1 つのアクティブなセットを維持できます。 AWS は現在、次のサービスのサービス固有の認証情報をサポートしています。

## サービス固有の認証情報を使用するタイミング
<a name="id_credentials_service-specific-creds-usecase"></a>

サービス固有の認証情報は、AWS 認証情報、AWS SDK、または AWS API とネイティブに互換性のないサードパーティーのライブラリ、SDK、ツール、またはアプリケーションとの互換性を目的としています。このようなユースケースには、セルフホストインフラストラクチャまたは他のプロバイダーがホストするサービスからの AWS サービスへの移行が含まれます。

一から始める場合、および可能な限り、IAM ロールによって提供される認証情報などの AWS 一時的認証情報を使用し、AWS SDK または一時的認証情報をサポートする AWS ライブラリを使用して AWS サービスで認証することをお勧めします。

## サービス固有の認証情報のローテーション
<a name="id_credentials_service-specific-creds-rotation"></a>

セキュリティのベストプラクティスとして、サービス固有の認証情報を定期的にローテーションします。アプリケーションを中断せずに認証情報を更新するには：

1. 同じサービスと IAM ユーザーに対して、サービス固有の認証情報の 2 番目のセットを作成する

1. すべてのアプリケーションを更新して、新しい認証情報で正しく動作することを確認します。

1. 元の認証情報の状態を「非アクティブ」に変更します。

1. すべてのアプリケーションが正常に機能していることを確認します。

1. 非アクティブなサービス固有の認証情報を、不要であることを確認したら削除します。

## サービス固有の認証情報のモニタリング
<a name="id_credentials_service-specific-creds-monitoring"></a>

AWS CloudTrail を使用して、AWS アカウント内のサービス固有の認証情報の使用をモニタリングできます。サービス固有の認証情報の使用に関連する CloudTrail イベントを表示するには、認証情報が使用されるサービスからのイベントの CloudTrail ログを確認します。詳細については、「[AWS CloudTrail による IAM および AWS STS の API コールのログ記録](cloudtrail-integration.md)」を参照してください。

セキュリティを強化するには、不正アクセスやその他のセキュリティ上の懸念を示す可能性のある特定の認証情報の使用パターンを通知するように CloudWatch アラームを設定することを検討してください。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[Amazon CloudWatch Logs による CloudTrail ログファイルのモニタリング](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)」を参照してください。

以下のトピックでは、サービス固有の認証情報について説明します。

**Topics**
+ [サービス固有の認証情報を使用するタイミング](#id_credentials_service-specific-creds-usecase)
+ [サービス固有の認証情報のローテーション](#id_credentials_service-specific-creds-rotation)
+ [サービス固有の認証情報のモニタリング](#id_credentials_service-specific-creds-monitoring)
+ [AWS サービスの API キー](id_credentials_api_keys_for_aws_services.md)
+ [Amazon Keyspaces で IAM を使用する（Apache Cassandra の場合）](id_credentials_keyspaces.md)