ポリシーを作成してユーザーにアタッチする - Amazon API Gateway

ポリシーを作成してユーザーにアタッチする

ユーザーが API 管理サービスまたは API 実行サービスを呼び出せるようにするには、API Gateway エンティティへのアクセスを制御する IAM ポリシーを作成する必要があります。

JSON ポリシーエディタを使用してポリシーを作成するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインで、[ポリシー] を選択します。

    初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[Get Started] (今すぐ始める) を選択します。

  3. ページの上部で、[ポリシーの作成] を選択します。

  4. [ポリシーエディタ] セクションで、[JSON] オプションを選択します。

  5. 次の JSON ポリシードキュメントを入力します。

    { "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "action-statement" ], "Resource" : [ "resource-statement" ] }, { "Effect" : "Allow", "Action" : [ "action-statement" ], "Resource" : [ "resource-statement" ] } ] }
  6. [Next] (次へ) をクリックします。

    注記

    いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、IAM ユーザーガイドの「ポリシーの再構成」を参照してください。

  7. [確認と作成] ページで、作成するポリシーの [ポリシー名][説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。

  8. [Create Policy] (ポリシーの作成) をクリックして、新しいポリシーを保存します。

このステートメントで、必要に応じて action-statementresource-statement を置き換えます。また、ユーザーに管理を許可する API Gateway エンティティ、ユーザーが呼び出せる API メソッド、または両方を指定するための他のステートメントを追加します。デフォルトでは、対応する明示的な Allow ステートメントがない限り、 ユーザーにアクセス許可はありません。

以上で、IAM ポリシーを作成しました。アタッチするまで効果はありません。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

IAM ポリシードキュメントを IAM グループにアタッチするには
  1. メインのナビゲーションペインで、[グループ] を選択します。

  2. 選択したグループの下で、[Permissions (アクセス許可)] タブを選択します。

  3. [Attach policy] を選択します。

  4. 前に作成したポリシードキュメントを選択して、[ポリシーのアタッチ] を選択します。

API Gateway がユーザーに代わって AWS の他のサービスを呼び出すには、Amazon API Gateway タイプの IAM ロールを作成します。

Amazon API Gateway タイプのロールを作成するには
  1. メインのナビゲーションペインで、[ロール] を選択します。

  2. [Create New Role] を選択します。

  3. [ロール名] にロールの名前を入力し、[次のステップ] を選択します。

  4. [AWS Service Roles] (AWS のサービスロール) の [Select Role Type] (ロールタイプの選択) で、[Amazon API Gateway] の横にある [Select] (選択) を選択します。

  5. API Gateway で CloudWatch にメトリクスを記録する場合は、[ポリシーのアタッチ] で、使用可能な IAM 管理対象アクセス許可ポリシー ([AmazonAPIGatewayPushToCloudWatchLog] など) を選択し、[次のステップ] を選択します。

  6. [信頼されたエンティティ] で、[apigateway.amazonaws.com] がエントリとして表示されていることを確認し、[ロールの作成] を選択します。

  7. 新しく作成したロールで、[Permissions (アクセス許可)] タブ、[ポリシーのアタッチ] の順に選択します。

  8. 前に作成したカスタムの IAM ポリシードキュメントを選択し、[ポリシーのアタッチ] を選択します。