インスタンスアイデンティティロール
作成する各インスタンスには、インスタンスアイデンティティを表すインスタンスアイデンティティロールがあります。インスタンスアイデンティティロールは IAM ロールの一種です。インスタンス ID ロールを使用するように統合されている AWS サービスと機能は、そのロールを使用してサービスのインスタンスを識別できます。
インスタンスアイデンティティロール認証情報は、/identity-credentials/ec2/security-credentials/ec2-instance
のインスタンスメタデータサービス (IMDS) からアクセスできます。認証情報は、AWS 一時アクセスキー ID およびセッショントークンで構成されています。これらは、インスタンス ID ロールを使用する AWS サービスへの AWS Sigv4 リクエストに署名するために使用されます。認証情報は、インスタンスアイデンティティロールを使用するサービスまたは機能がインスタンスで有効になっているかどうかにかかわらず、インスタンスメタデータに存在します。
インスタンス ID ロールは、インスタンスの起動時に自動的に作成され、ロール信頼ポリシー文書はなく、ID ポリシーやリソースポリシーの対象にもなりません。
サポートされる サービス
AWS サービスはインスタンス ID ロールを使用します。
-
Amazon EC2 – EC2 Instance Connect は、インスタンス ID ロールを使用して Linux インスタンスのホストキーを更新します。
-
Amazon GuardDuty — ランタイムモニタリングは、インスタンスアイデンティティロールを使用して、ランタイムエージェントが GuardDuty VPC エンドポイントにセキュリティテレメトリを送信できるようにします。
-
AWS Security Token Service (AWS STS) - インスタンス ID ロールの認証情報は AWS STS
GetCallerIdentity
アクションで使用できます。 -
AWS Systems Manager - デフォルトのホスト管理設定を使用する場合、AWS Systems Manager はインスタンスアイデンティティロールによって提供された ID を使用して EC2 インスタンスを登録します。インスタンスを識別すると、システムマネージャーは
AWSSystemsManagerDefaultEC2InstanceManagementRole
IAM ロールをインスタンスに渡すことができます。
インスタンス ID ロールは、インスタンス ID ロールと統合されていないため、他の AWS サービスや機能では使用できません。
インスタンスアイデンティティロール ARN
インスタンスアイデンティティロール ARN は次の形式です。
arn:
aws-partition
:iam::account-number
:assumed-role/aws:ec2-instance/instance-id
例:
arn:
aws
:iam::0123456789012
:assumed-role/aws:ec2-instance/i-0123456789example
ARN の詳細については、「IAM ユーザーガイド」の「Amazon リソースネーム (ARN)」を参照してください。