メニュー
AWS Identity and Access Management
ユーザーガイド

ウェブ ID フェデレーションを使用したユーザーの識別

IAM でアクセスポリシーを作成するときに、設定されたアプリと、ID プロバイダーを使用して認証されたユーザーの ID に基づいてアクセス権限を指定できると、便利です。たとえば、ウェブ ID フェデレーションを使用するモバイルアプリは、次のような形式で Amazon S3 に情報を保存することができます。

myBucket/app1/user1
myBucket/app1/user2
myBucket/app1/user3
...
myBucket/app2/user1
myBucket/app2/user2
myBucket/app2/user3
...

また、さらに、これらのパスをプロバイダー別に区別することもできます。その場合、形式は次のようになります(場所をとらないように 2 つのプロバイダーだけを示します)。

myBucket/Amazon/app1/user1
myBucket/Amazon/app1/user2
myBucket/Amazon/app1/user3
...
myBucket/Amazon/app2/user1
myBucket/Amazon/app2/user2
myBucket/Amazon/app2/user3

myBucket/Facebook/app1/user1
myBucket/Facebook/app1/user2
myBucket/Facebook/app1/user3
...
myBucket/Facebook/app2/user1
myBucket/Facebook/app2/user2
myBucket/Facebook/app2/user3
...

この形式では、app1app2 は、ゲームなどの異なるアプリを表し、アプリのユーザーごとに個別のフォルダが作成されます。app1app2 の値は、ユーザーが割り当てたわかりやすい名前(たとえば、mynumbersgame)でも、アプリを設定したときにプロバイダーが割り当てたアプリ ID でもかまいません。パスにプロバイダー名を含める場合は、それも CognitoAmazonFacebookGoogle のような、わかりやすい名前にできます。

アプリケーション名は静的な値であるため、通常、AWS マネジメントコンソール を使って app1app2 用のフォルダーを作成できます。プロバイダー名も静的な値であるため、これはプロバイダー名をパスに含める場合も同様です。これに対して、ユーザー固有のフォルダー(user1user2user3 など)は、AssumeRoleWithWebIdentity にリクエストして返された SubjectFromWebIdentityToken 値にあるユーザー ID を使用して、実行時にアプリ側で作成する必要があります。

個々のユーザーにリソースへの排他的アクセスを許可するポリシーを作成するには、アプリ名およびプロバイダー名も含めて(使用している場合)、完全に一致するフォルダー名を使用します。続いて、プロバイダーから返されるユーザー ID を参照する、次のようなプロバイダー固有のコンテキストキーの値を含めます。

  • cognito-identity.amazonaws.com:sub

  • www.amazon.com:user_id

  • graph.facebook.com:id

  • accounts.google.com:sub

OIDC プロバイダーの場合は、以下の例のように、OIDC プロバイダーの完全修飾 URL とサブコンテキストキーを使用します。

  • server.example.com:sub

次の例は、バケットのプレフィックスが文字列に一致する場合にのみ、Amazon S3 のバケットへのアクセスを許可するアクセスポリシーを示します。

myBucket/Amazon/mynumbersgame/user1

この例では、ユーザーが Login with Amazon を使用してサインインし、mynumbersgame というをアプリを使用していると仮定しています。ユーザーの一意の ID は、user_id と呼ばれる属性として表示されます。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::myBucket"], "Condition": {"StringLike": {"s3:prefix": ["Amazon/mynumbersgame/${www.amazon.com:user_id}/*"]}} }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::myBucket/amazon/mynumbersgame/${www.amazon.com:user_id}", "arn:aws:s3:::myBucket/amazon/mynumbersgame/${www.amazon.com:user_id}/*" ] } ] }

Amazon Cognito、Facebook、Google などの OpenID Connect 互換 IdP を使用してサインインするユーザー用に、類似のポリシーを作成します。これらのポリシーでは、パスの一部に別のプロバイダー名を使用し、また別のアプリ ID を使用します。

ポリシーの条件チェックで利用可能なウェブ ID フェデレーションのキーの詳細については、「ウェブ ID フェデレーションで利用可能なキー」を参照してください。