メニュー
Amazon API Gateway
開発者ガイド

Amazon API Gateway を使用する準備を整える

初めて API Gateway を使用する前に、AWS アカウントを設定する必要があります。API Gateway で API を作成、設定、およびデプロイするには、API Gateway 管理サービスに対して許可されるアクセス権限でプロビジョニングされた、適切な IAM ポリシーが必要です。API Gateway で API を起動するよう API クライアントを許可するには、クライアントが API Gateway 実行サービスを呼び出すのを許可する、正しい IAM ポリシーを設定する必要があります。API Gateway がバックエンドで AWS サービスを呼び出すことを許可するには、API Gateway に、バックエンド AWS サービスを呼び出すために必要なロールを引き受けるアクセス権限が必要です。API Gateway API が、AWS IAM ロールとポリシーを使用してクライアントアクセスを制御するよう設定されている場合、クライアントは API Gateway API リクエストに署名バージョン 4 で署名する必要があります。

以下のトピックの理解は、API Gateway を使用し、ここに示すチュートリアルや指示に従ううえで重要です。このセクションでは、これらのトピックの短い説明、またはクイックリファレンスを示します。

AWS へのサインアップ

AWS アカウントをお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。

AWS にサインアップするには

  1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。

  2. オンラインの手順に従います。

AWS アカウントで IAM ユーザー、グループ、またはロールを作成する

より良いセキュリティ実施方法として、AWS ルートアカウントを使用して API Gateway にアクセスすることは避けてください。代わりに、新しい AWS Identity and Access Management (IAM) ユーザーを作成し (または AWS アカウントの既存のユーザーを使用し)、その IAM ユーザーの認証情報で API Gateway にアクセスします。

ユーザーのアクセスを管理するには、IAM ユーザーを作成し、そのユーザーに API Gateway アクセス権限を付与できます。新しい IAM ユーザーを作成する方法については、「IAM ユーザーを作成する」を参照してください。

ユーザーグループのアクセスを管理するには、IAM グループを作成し、そのグループに API Gateway アクセス権限を付与して、1 人以上の IAM ユーザーをそのグループに追加します。IAM グループを作成するには、「Creating IAM Groups」を参照してください。

特定のユーザー、アプリ、またはサービスにアクセス権を委任するには、IAM ロールを作成し、指定されたユーザーまたはグループをそのロールに追加して、ユーザーまたはグループに API Gateway アクセス権限を付与します。IAM ロールを作成するには、「IAM ロールの作成」を参照してください。

API を設定するときは、API のメソッドへのアクセスを制御するよう IAM ロールの ARN を指定する必要があります。API を作成する際は、この準備ができていることを確認します。

IAM ユーザーに API Gateway 管理サービスと実行サービスにアクセスする権限を付与する

AWS では、アクセス権限はポリシーとして表されます。AWS によって作成されたポリシーは管理ポリシーで、ユーザーによって作成されたポリシーはインラインポリシーです。

API Gateway 管理サービスの場合、AmazonAPIGatewayAdministrator (arn:aws:iam::aws:policy/AmazonAPIGatewayAdministrator) の管理ポリシーによって、API Gateway での API の作成、設定、およびデプロイのフルアクセスが付与されます。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "apigateway:*" ], "Resource": "arn:aws:apigateway:*::/*" } ] }

明示されたアクセス権限をユーザーに付与するには、ユーザー、またはそのユーザーが属するグループにポリシーをアタッチします。ポリシーをアタッチするには、「管理ポリシーのアタッチ」を参照してください。

前述のポリシーを IAM ユーザーにアタッチすることで、ユーザーには、AWS アカウントに関連付けられたすべての API Gateway 管理サービスのアクションおよびリソースへのアクセス権が付与されます。API Gateway 管理サービスのアクションとリソースの制限されたセットに IAM ユーザーを制限する方法については、「IAM アクセス権限の使用」を参照してください。

API Gateway 管理サービスの場合、AmazonAPIGatewayInvokeFullAccess ( arn:aws:iam::aws:policy/AmazonAPIGatewayInvokeFullAccess) の管理ポリシーにより、API Gateway で API を呼び出すためのフルアクセスが提供されます。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke" ], "Resource": "arn:aws:execute-api:*:*:*" } ] }

前述のポリシーを IAM ユーザーにアタッチすることで、ユーザーには、AWS アカウントに関連付けられたすべての API Gateway 実行サービスのアクションおよびリソースへのアクセス権が付与されます。API Gateway 実行サービスのアクションとリソースの制限されたセットに IAM ユーザーを制限する方法については、「IAM アクセス権限の使用」を参照してください。

明示されたアクセス権限をユーザーに付与するには、ユーザーと、そのユーザーが属するグループにポリシーをアタッチします。ポリシーをアタッチするには、「管理ポリシーのアタッチ」を参照してください。

このドキュメントでは、可能な限り管理ポリシーを使用します。インラインポリシーを作成および使用するには、「インラインポリシーの使用」を参照してください。

注記

上記のステップを完了するには、IAM ポリシーを作成し、任意の IAM ユーザーにアタッチするためのアクセス権限が必要となります。

次のステップ

これで API Gateway の使用を開始する準備ができました。「例から API Gateway API を作成する」を参照してください。