Amazon EC2 の IAM ポリシー
デフォルトでは、IAM ユーザーには Amazon EC2 リソースを作成または変更、または Amazon EC2 API を使用するタスクを実行する権限がありません。(つまり、Amazon EC2 コンソールまたは CLI を使用して実行することもできません。) IAM ユーザーがリソースを作成または変更、およびタスクを実行できるようにするには、IAM ポリシーを作成する必要があります。これによって、必要な特定のリソースおよび API アクションを使用するためのアクセス許可を IAM ユーザーに付与し、その後、ポリシーをそのアクセス許可が必要な IAM ユーザーまたはグループにアタッチします。
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。IAM ポリシーの一般的な情報については、IAM ユーザーガイド の「Permissions and Policies」を参照してください。カスタム IAM ポリシーの管理と作成の詳細については、「IAM ポリシーの管理」を参照してください。
はじめに
IAM ポリシーは、1 つ以上の Amazon EC2 アクションを使用するアクセス許可を付与または拒否する必要があります。さらに、このアクションで使用できるリソース (すべてのリソースか、場合によっては特定のリソース) も指定する必要があります。このポリシーには、リソースに適用する条件も含めることができます。
Amazon EC2 では、リソースレベルのアクセス許可が部分的にサポートされます。これは、一部の EC2 API アクションでは、ユーザーがそのアクションに使用できるリソースを指定できないことを意味します。代わりに、ユーザーがそのアクションにすべてのリソースを使用することを許可する必要があります。
タスク | トピック |
---|---|
ポリシーの基本構造について | ポリシー構文 |
ポリシーでのアクションの定義 | Amazon EC2 のアクション |
ポリシーでの特定のリソースの定義 | Amazon EC2 用の Amazon リソースネーム (ARN) |
リソースの使用への条件の適用 | Amazon EC2 の条件キー |
Amazon EC2 での使用可能なリソースレベルのアクセス許可の使用 | Amazon EC2 のアクション、リソース、条件キー |
ポリシーのテスト | |
CLI または SDK のサンプルポリシー | AWS CLI または AWS SDK で使用するサンプルポリシー |
Amazon EC2 コンソールのサンプルポリシー | Amazon EC2 コンソールで機能するサンプル ポリシー |