メニュー
Amazon API Gateway
開発者ガイド

ポリシーを作成して IAM ユーザーにアタッチする

ユーザーが API 管理サービスまたは API 実行サービスを呼び出せるようにするには、IAM ユーザー用に API Gateway エンティティへのアクセスを制御する IAM ポリシーを作成し、そのポリシーを IAM ユーザーにアタッチする必要があります。IAM ポリシーの作成方法については、以下のステップで示します。

独自の IAM ポリシーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. [Policies] を選択してから、[Create Policy] を選択します[Get Started] ボタンが表示されたら、そのボタンを選択して、[Create Policy] を選択します。

  3. [Create Your Own Policy] の横の [Select] を選択します。

  4. [Policy Name] に、後で参照しやすい任意の値を入力します。オプションとして、[Description] に説明のテキストを入力します。

  5. [Policy Document] に、以下の形式のポリシーステートメントを入力してから、[Create Policy] を選択します。

    Copy
    { "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "action-statement" ], "Resource" : [ "resource-statement" ] }, { "Effect" : "Allow", "Action" : [ "action-statement" ], "Resource" : [ "resource-statement" ] } ] }

    このステートメントで、必要に応じて action-statementresource-statement を置き換えます。また、IAM ユーザーに管理を許可する API Gateway エンティティ、IAM ユーザーが呼び出せる API メソッド、または両方を指定するための他のステートメントを追加します。デフォルトでは、対応する明示的な Allow ステートメントがない限り、IAM ユーザーにアクセス権限はありません。

  6. ユーザーのポリシーを有効にするには、[Users] を選択します。

  7. ポリシーをアタッチする IAM ユーザーを選択します。

以上で、IAM ポリシーを作成しました。ポリシーを有効にするには、IAM ユーザー、ユーザーが属する IAM グループ、またはユーザーが引き受ける IAM ロールにアタッチする必要があります。

IAM ポリシーを IAM ユーザーにアタッチするには

  1. 選択したユーザーについて、[Permissions] タブ、[Attach Policy] の順に選択します。

  2. [Grant permissions] で、[Attach existing policies directly] を選択します。

  3. 表示されたリストから、先ほど作成したポリシードキュメントを選択し、[Next: Review] を選択します。

  4. [Permissions summary] で、[Add permissions] を選択します。

別の方法として、ユーザーを IAM グループに追加して (まだグループのメンバーになっていない場合)、そのグループにポリシードキュメントをアタッチできます。アタッチしたポリシーはグループのすべてのメンバーに適用されます。IAM ユーザーのグループに関するポリシー設定は、必要に応じて管理および更新できます。以下では、ポリシーを IAM グループにアタッチする方法について説明します。グループは作成済みで、このグループにユーザーを追加済みであると仮定します。

IAM ポリシードキュメントを IAM グループにアタッチするには

  1. メインのナビゲーションペインで、[Groups] を選択します。

  2. 選択したグループの下で、[Permissions] タブを選択します。

  3. [Attach policy] を選択します。

  4. 前に作成したポリシードキュメントを選択して、[Attach policy] を選択します。

ユーザーに代わって API Gateway から AWS の他のサービスを呼び出すには、[Amazon API Gateway] タイプの IAM ロールを作成します。

Amazon API Gateway タイプのロールを作成するには

  1. メインのナビゲーションペインで、[Roles] を選択します。

  2. [Create New Role] を選択します。

  3. [Role name] にロールの名前を入力し、[Next Step] を選択します。

  4. [Select Role Type] で、[AWS Service Roles] の [Amazon API Gateway] の横にある [Select] を選択します。

  5. API Gateway で CloudWatch にメトリクスを記録する場合は、[Attach Policy] で、使用可能な IAM 管理対象アクセス権限ポリシー ([AmazonAPIGatewayPushToCloudWatchLog] など) を選択し、[Next Step] を選択します。

  6. [Trusted Entities] で、[apigateway.amazonaws.com] がエントリとして表示されていることを確認し、[Create Role] を選択します。

  7. 新しく作成したロールで、[Permissions] タブ、[Attach Policy] の順に選択します。

  8. 前に作成したカスタムの IAM ポリシードキュメントを選択し、[Attach Policy] を選択します。