翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# EC2 インスタンスを AMS アカウントの S3 バケットへの書き込みアクセスを許可
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts"></a>

*Amazon Web Services、Mansi Suratwala*

## 概要
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-summary"></a>

AWS Managed Services (AMS) は、 AWS インフラストラクチャをより効率的かつ安全に運用するのに役立ちます。AMS アカウントには、 AWS リソースの標準化された管理のためのセキュリティガードレールがあります。ガードレールの 1 つは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスプロファイルではデフォルトで Amazon Simple Storage Service (Amazon S3) バケットへの書き込みアクセスを許可しないことです。ただし、組織には複数の S3 バケットがあり、EC2 インスタンスによるアクセスをより細かく制御する必要がある場合があります。たとえば、EC2 インスタンスのデータベースバックアップを S3 バケットに保存できます。

このパターンは、変更要求 (RFC) を使用して EC2 インスタンスに AMS アカウントの S3 バケットへの書き込みアクセスを許可する方法を説明します。RFC は、管理対象環境を変更するためにユーザーまたは AMS が作成したリクエストで、特定の操作の「[変更タイプ](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)」(CT) ID が含まれます。

## 前提条件と制限事項
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-prereqs"></a>

**前提条件**
+ AMS Advanced アカウント。詳細については、AMS ドキュメントの「[AMS operations plans](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-ams-op-plans.html)」を参照してください。 
+ RFCs を送信するための AWS Identity and Access Management (IAM) `customer-mc-user-role`ロールへのアクセス。 
+ AWS Command Line Interface (AWS CLI)、AMS アカウントの EC2 インスタンスでインストールおよび設定されます。 
+ AMS で RFC を作成して提出する方法に対する理解。詳細については、AMS ドキュメントの「[What are AMS change types?](https://docs.aws.amazon.com/managedservices/latest/ctref/what-are-change-types.html)」を参照してください。
+ 手動変更タイプと自動変更タイプ (CT) に対する理解。詳細については、AMS ドキュメントの「[Automated and manual CTs](https://docs.aws.amazon.com/managedservices/latest/userguide/ug-automated-or-manual.html)」を参照してください。

## アーキテクチャ
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-architecture"></a>

**テクノロジースタック**
+ AMS
+ AWS CLI
+ Amazon EC2
+ Amazon S3
+ IAM

## ツール
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-tools"></a>
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) は、コマンドラインシェルのコマンド AWS のサービス を通じて を操作するのに役立つオープンソースツールです。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) は、誰を認証し、誰に使用する権限を付与するかを制御することで、 AWS リソースへのアクセスを安全に管理するのに役立ちます。
+ [AWS Managed Services (AMS)](https://docs.aws.amazon.com/managedservices/latest/userguide/what-is-ams.html) は、AWS インフラストラクチャをより効率的かつ安全に運用するのに役立ちます。 
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。仮想サーバーを必要な数だけ起動して、迅速にスケールアップまたはスケールダウンができます。

## エピック
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-epics"></a>

### RFC で S3 バケットを作成
<a name="create-an-s3-bucket-with-an-rfc"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| 自動 RFC を使用して S3 バケットを作成します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts.html)S3 バケットの名前は必ず記録してください。 | AWS システム管理者、AWS 開発者 | 

### EC2 インスタンスに関連付ける IAM インスタンスプロファイルロールを作成します。
<a name="create-an-iam-instance-profile-and-associate-it-with-the-ec2-instances"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| 手動 RFC を提出して IAM ロールを作成します。 | AMS アカウントがオンボーディングされると、デフォルトの IAM インスタンスプロファイルが `customer-mc-ec2-instance-profile` という名前で作成され、AMS アカウント内の各 EC2 インスタンスに関連付けられます。ただし、インスタンスプロファイルには S3 バケットへの書き込み権限はありません。書き込みのアクセス許可を追加するには、**IAM リソースの作成**の手動 RFC を送信し、`customer_ec2_instance_`、`customer_deny_policy`、`customer_ec2_s3_integration_policy` の 3 つのポリシーを持つ IAM ロールを作成します。 `customer_ec2_instance_` と `customer_deny_policy` のポリシーはお使いの AMS アカウントに既にあります。ただし、次のサンプルポリシーを使用して `customer_ec2_s3_integration_policy` を作成する必要があります。<pre>{<br />  "Version": "2012-10-17",		 	 	 <br />   "Statement": [<br />    {<br />      "Sid": "",<br />       "Effect": "Allow",<br />       "Principal": {<br />         "Service": "ec2.amazonaws.com"<br />      },<br />       "Action": "sts:AssumeRole"<br />    }<br />  ]<br />}<br /> <br />Role Permissions:<br />{<br />     "Version": "2012-10-17",		 	 	 <br />     "Statement": [<br />        {<br />             "Action": [<br />                 "s3:ListBucket",<br />                 "s3:GetBucketLocation"<br />            ],<br />             "Resource": "arn:aws:s3:::",<br />             "Effect": "Allow"<br />        },<br />        {<br />             "Action": [<br />                 "s3:GetObject",<br />                 "s3:PutObject",<br />                 "s3:ListMultipartUploadParts",<br />                 "s3:AbortMultipartUpload"<br />            ],<br />             "Resource": "arn:aws:s3:::/*",<br />             "Effect": "Allow"<br />        }<br />    ]<br />}</pre> | AWS システム管理者、AWS 開発者 | 
| IAM インスタンスプロファイルを置き換えるには、手動 RFC を提出してください。 | 手動 RFC を提出して、ターゲット EC2 インスタンスを新しい IAM インスタンスプロファイルに関連付けます。 | AWS システム管理者、AWS 開発者 | 
| S3 バケットへのコピー操作をテストします。 |  AWS CLIで次のコマンドを実行し、S3 バケットへのコピー操作をテストします。<pre>aws s3 cp test.txt s3://<S3 bucket>/test2.txt</pre> | AWS システム管理者、AWS 開発者 | 

## 関連リソース
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-resources"></a>
+ 「[Amazon EC2 インスタンス (CLI) の IAM インスタンスプロファイルを作成する](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-iam-instance-profile.html)」
+ [S3 バケットの作成 (Amazon S3 コンソール、 AWS SDKs、または を使用 AWS CLI)](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)