メニュー
AWS Identity and Access Management
ユーザーガイド

ポリシー概要 (サービスの一覧)

IAM コンソールのポリシー概要には、選択したポリシー向けに定義されたアクセス権限の概要を含むサービスのリストが含まれます。ポリシーに Deny ステートメントが含まれる場合、ポリシー概要は、ポリシーの結果 ([Explicit deny] または [Allow]) に基づいてグループ化されます。

ヒント

明示的に許可されていないアクセス許可はデフォルトで禁止されているため、Allow ステートメントのみポリシーに含めるのがベストプラクティスです。

管理ポリシーのポリシー概要は [Policies] ページ、ユーザーにアタッチされている概要のポリシーは [Users] ページで確認できます。ポリシー概要がポリシーに含まれていない場合は、「欠落しているポリシーの概要」を参照してください。

管理ポリシーのポリシー概要を表示するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Policies] を選択します。

  3. ポリシーの一覧で、表示するポリシーの名前を選択します。

  4. ポリシー概要テーブルを表示するには、必要に応じて、ポリシーの詳細ページで [Permissions] タブを選択します。

  5. JSON テキストまたはポリシーの概要に表示を切り替えるには、[JSON] または [Policy summary] を選択します。

  6. ポリシーの JSON ドキュメントを表示した状態で、カスタマー管理ポリシーを編集するには、[Edit] を選択します。AWS 管理ポリシーを編集することはできません。

ユーザーにアタッチされているポリシーの概要を表示するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択します。

  3. ユーザーのリストから、ポリシーを表示するユーザーを選択します。

  4. ユーザーに直接アタッチされているポリシー、またはグループのポリシーのリストを表示するには、必要に応じて、ユーザーの詳細ページで [Permissions] タブを選択します。

  5. ユーザーのポリシーのテーブルで、表示するポリシー概要のヘッダーを展開します。

  6. JSON テキストまたはポリシーの概要に表示を切り替えるには、[JSON] または [Policy summary] を選択します。

  7. ユーザーに直接アタッチされているインラインポリシーを編集するには、[Edit policy] を選択します。管理ポリシーを編集するには、[Policies] ページに移動します。ユーザーに割り当てられているグループのインラインポリシーを編集するには、そのグループの詳細ページに移動します。AWS 管理ポリシーを編集することはできません。

ポリシー概要の要素について

ユーザー詳細ページの以下の例では、[PolSumUser] ユーザーに、8 つのポリシーがアタッチされています。[SummaryAllElements] ポリシーは、ユーザーに直接アタッチされている管理ポリシーです。ポリシー概要を表示するには、このポリシーを展開します。

 ポリシー概要のダイアログイメージ

前のイメージの場合、ポリシー概要は、ユーザーの詳細ページ内に表示されます。

  1. ユーザーの [Permissions] タブには、[PolSumUser] ユーザーにアタッチされているポリシーが含まれます。

  2. [SummaryAllElements] ポリシーは、ユーザーにアタッチされている 8 つのポリシーのうちの 1 つです。ポリシーの概要を表示するには、[SummaryAllElements] のテーブルの行を展開します。

  3. 各ポリシーは、ポリシー概要と JSON ポリシードキュメントの間で表示を切り替えることができます。

  4. ポリシーをテストするには、[Simulate policy] で Policy Simulator を開きます。

  5. 検索ボックスを使用してサービスのリストを縮小すると、特定のサービスを簡単に表示できます。

  6. [SummaryAllElements] のポリシー概要を展開すると強調表示されます。次の図は、ポリシー概要内の詳細を示しています。

  7. その他の 3 つのポリシーは、このユーザーに直接アタッチされています。以下の [Attached from group] セクションでは、ポリシーを追加する場合について説明しています。

次のポリシー概要テーブルの図は、[PolSumUser] ユーザー詳細ページで展開した [SummaryAllElements] ポリシーを示しています。

 ポリシー概要のダイアログイメージ

前のイメージの場合、ポリシー概要は、ユーザーの詳細ページ内に表示されます。

  1. [Service] – この列には、ポリシー内で定義されているサービス一覧と各サービスの詳細が表示されています。ポリシー概要テーブルの各サービス名は、[service summary] テーブルへのリンクです。詳細については、「サービス概要 (アクションのリスト)」を参照してください。この例のアクセス権限は、Amazon S3、請求および Amazon EC2 向けに定義されています。

  2. ポリシー概要は、ポリシーによりサービスの使用が許可または明示的に拒否されるかによって、サービスをグループ化します。この例では、Amazon S3 サービス向けに Allow および Deny ステートメントの両方がポリシーに含まれています。そのため、ポリシー概要には、[Explicit deny] および [Allow] の両セクション内の S3 が含まれています。

  3. [Access level] – この列には、各アクセスレベル (ListReadWritePermissions management) のアクションに、ポリシーで定義されている Full または Limited 権限があるかどうかが表示されています。アクセスレベルの概要の詳細と例については、「ポリシー概要内のアクセスレベルの概要について」を参照してください。

  4. [Full access] – このエントリは、すべてのアクションを、サービスが提供する 4 つすべてのアクセスレベルで行うことができることを表しています。この例では、この行はテーブルの [Explicit deny] セクションにあるため、Amazon S3 アクションはすべて、ポリシーに含まれているリソースで拒否されます。

  5. エントリに [Full access] が含まれていない場合、一部のサービスは利用できますが、すべてのアクションを利用できるわけではありません。このアクセスは、4 種類に分類されている各アクセスレベル (ListReadWritePermissions management) の説明のとおりに定義されます。

    [Full]: このポリシーでは、表示されている各アクセスレベル分類で、すべてのアクションを利用できます。この例では、ポリシーによって、すべての請求アクションに Read 権限が付与されます。

    [Limited]: このポリシーでは、各アクセスレベルのアクションを 1 つ以上行うことができますが、すべてのアクションを行うことができるとは限りません。この例では、ポリシーによって、一部の請求アクションに Write 権限が付与されます。

  6. [Resource] – この列には、各サービスに対してポリシーで指定したリソースが表示されます。

  7. [Multiple] – このポリシーには、サービス内に複数のリソースが含まれていますが、すべてのリソースが含まれているとは限りません。この例では、複数の Amazon S3 リソースへのアクセスは拒否されます。

  8. [All resources] – このポリシーは、サービス内のすべてのリソース向けに定義されています。この例では、ポリシーによって、一覧表示されたアクションをすべての請求リソースで行うことができるようになります。

  9. リソース ARN – このポリシーには、1 つのリソースがサービス内に含まれます。この例では、arn:aws:s3:::developer_bucket/* Amazon S3 リソースでのみ、一覧表示されたアクションを行うことができます。

  10. [Request condition] – この列では、リソースに関連付けられたサービスまたはアクションが条件の対象かどうかを示します。ポリシーの条件のリストを表示するには、ポリシーの [JSON] をクリックします。

  11. [None] – このポリシーには、サービスの条件は含まれません。この例では、Amazon S3 サービスで拒否されたアクションに条件は適用されません。

  12. 条件のテキスト – このポリシーには、サービスに対する 1 つの条件が含まれます。この例では、表示される請求アクションは、ソースの IP アドレスが 203.0.113.0/24 の場合にのみ許可されます。

  13. [Multiple] – このポリシーでは、サービスに対する複数の条件が含まれます。この例では、表示される Amazon S3 アクションへのアクセスは、複数の条件に基づいて許可されます。

このページの内容: