AWS ドキュメント » AWS Identity and Access Management » ユーザーガイド » アクセス管理 » ポリシーとアクセス許可 » IAM アイデンティティベースのポリシーの例

IAM アイデンティティベースのポリシーの例

ポリシーは AWS のオブジェクトであり、アイデンティティやリソースに関連付けて、これらのアクセス許可を定義します。AWS は、プリンシパルエンティティ (ユーザーまたはロール) によってリクエストが行われると、それらのポリシーを評価します。ポリシーでのアクセス許可により、リクエストが許可されるか拒否されるかが決まります。通常、ポリシーは、IAM エンティティ (ユーザー、ユーザーのグループ、ロール) にアタッチされている JSON ドキュメントとして AWS に保存されます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。これらの例の JSON ポリシードキュメントを使用して IAM ポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

デフォルトではすべてのリクエストが拒否されるため、その ID がアクセスするサービス、アクション、リソースへのアクセスを許可する必要があります。IAM コンソールで指定したアクションを完了するためのアクセスも許可する場合は、追加のアクセス許可を提供する必要があります。

以下のポリシーのライブラリは、IAM ID のアクセス権限を定義する参考になります。必要なポリシーを見つけたら、[View this policy (このポリシーを表示)] を選択してそのポリシーの JSON を表示します。JSON のポリシードキュメントをテンプレートとして使用して、独自のポリシーを作成できます。

注記

このリファレンスガイドに含めるポリシーを送信する場合は、このページの下部にある [フィードバック] ボタンを使用します。

ポリシーの例: AWS

• 特定の日付範囲内のアクセスを許可します。(このポリシーを表示。)

• AWS リージョンの有効化と無効化(このポリシーを表示。)

• MFA で認証されたユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の認証情報を管理できるようにします。(このポリシーを表示。)

• 指定した日付の範囲内で MFA を使用したときに特定のアクセスを許可する。(このポリシーを表示。)

• ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の認証情報を管理できるようにします。(このポリシーを表示。)

• ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の MFA デバイスを管理できるようにします。(このポリシーを表示。)

• ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分のパスワードを管理できるようにします。(このポリシーを表示。)

• ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分のパスワード、アクセスキー、および SSH パブリックキーを管理できるようにします。(このポリシーを表示。)

• リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する(このポリシーを表示。)

• 送信元 IP に基づいて AWS へのアクセスを拒否する(このポリシーを表示。)

ポリシーの例: CodeCommit

• AWS CodeCommit リポジトリでの Git オペレーションの実行を許可する(このポリシーを表示)。

ポリシーの例: AWS Data Pipeline

• ユーザーが作成していないパイプラインへのアクセスを拒否する (このポリシーを表示)。

ポリシーの例: Amazon DynamoDB

• 特定の Amazon DynamoDB テーブルへのアクセスを許可する (このポリシーを表示)。

• 特定の Amazon DynamoDB 列へのアクセスを許可する (このポリシーを表示)。

• Amazon Cognito ID に基づいて Amazon DynamoDB への行レベルのアクセスを許可する (このポリシーを表示)。

ポリシーの例: Amazon EC2

• Amazon EC2 インスタンスがボリュームをアタッチまたはデタッチすることを許可する (このポリシーを表示)。

• タグに基づいて Amazon EC2 インスタンスに Amazon EBS ボリュームをアタッチまたはデタッチすることを許可する (このポリシーを表示)。

• 特定のサブネットで、プログラムによりコンソールで Amazon EC2 インスタンスを起動することを許可する (このポリシーを表示)。

• 特定の VPC に関連付けられた Amazon EC2 セキュリティグループを、プログラムによりコンソールで管理することを許可する (このポリシーを表示)。

• ユーザーがタグ付けした Amazon EC2 インスタンスをプログラムによりコンソールで開始や停止を行うことを許可する (このポリシーを表示)

• Amazon EC2 インスタンスを、リソースおよびプリンシパルのタグに基づき、プログラムを使用する、およびコンソールで開始または停止することを許可する (このポリシーを表示)。

• リソースとプリンシパルのタグが一致すると、Amazon EC2 インスタンスの開始または停止を許可する (このポリシーを表示)。

• 特定のリージョンでの完全な Amazon EC2 アクセスをプログラムによりコンソールで許可する(このポリシーを表示)。

• プログラムによりコンソールで特定の Amazon EC2 インスタンスの開始または停止、および特定のセキュリティグループの変更を許可する (このポリシーを表示)。

• MFA なしで特定の Amazon EC2 オペレーションへのアクセスを拒否する (このポリシーを表示)。

• Amazon EC2 インスタンスの終了を特定の IP アドレス範囲に制限する (このポリシーを表示)。

ポリシーの例: AWS Identity and Access Management (IAM)

• Policy Simulator API へのアクセスを許可する (このポリシーを表示)。

• Policy Simulator コンソールへのアクセスを許可する (このポリシーを表示)。

• 特定のタグを持つロールを引き受けることをプログラムによりコンソールで許可する (このポリシーを表示)。

• 複数のサービスへのアクセスをプログラムによりコンソールで許可および拒否する (このポリシーを表示)。

• 特定のタグを、別の特定のタグ、プログラム、およびコンソールで IAM ユーザーに追加することを許可する (このポリシーを表示)。

• 任意の IAM ユーザーまたはロールに、特定のタグをプログラムによりコンソールで追加することを許可する (このポリシーを表示)。

• 特定のタグでのみ新規ユーザーを作成することを許可する (このポリシーを表示)。

• IAM 認証情報レポートの生成および取得を許可する (このポリシーを表示)。

• グループメンバーをプログラムによりコンソールで管理することを許可する (このポリシーを表示)。

• 特定のタグの管理を許可する (このポリシーを表示)。

• IAM ロールを特定のサービスに渡すことを許可する (このポリシーを表示)。

• レポートなしでの IAM コンソールへの読み取り専用アクセスを許可する (このポリシーを表示)。

• IAM コンソールへの読み取り専用アクセスを許可する (このポリシーを表示)。

• 特定のユーザーによるグループの管理をプログラムによりコンソールで許可する (このポリシーを表示)。

• アカウントのパスワード要件の設定をプログラムによりコンソールで許可する (このポリシーを表示)。

• 特定のパスがあるユーザーに Policy Simulator API の使用を許可する (このポリシーを表示)。

• 特定のパスがあるユーザーに Policy Simulator コンソールの使用を許可する (このポリシーを表示)。

• IAM ユーザーに MFA デバイスの自己管理を許可する。(このポリシーを表示。)

• IAM ユーザーが自分の認証情報を更新することをプログラムによりコンソールで許可する。(このポリシーを表示。)

• IAM コンソールで AWS Organizations ポリシーのサービスの最終アクセス時間データを表示することを許可する。(このポリシーを表示。)

• IAM ユーザー、グループ、またはロールに適用できる管理ポリシーを制限する (このポリシーを表示)。

ポリシーの例: AWS Lambda

• Amazon DynamoDB テーブルにアクセスする AWS Lambda 関数を許可する (このポリシーを表示)。

ポリシーの例: Amazon RDS

• 特定のリージョン内で Amazon RDS データベース全体へのアクセスを許可する(このポリシーを表示)。

• Amazon RDS データベースをプログラムによりコンソールで復元することを許可する (このポリシーを表示)。

• タグ所有者にタグ付けした Amazon RDS リソースへのフルアクセスを許可する (このポリシーを表示)。

ポリシーの例: Amazon S3

• Amazon Cognito ユーザーが自分の Amazon S3 バケットのオブジェクトにアクセスすることを許可する (このポリシーを表示)。

• フェデレーティッドユーザーにプログラムおよびコンソールによる Amazon S3 内の自分のホームディレクトリへのアクセスを許可する (このポリシーを表示)。

• 完全な S3 アクセスを許可しても、管理者が過去 30 分以内に MFA を使用してサインインしていない場合は本番稼働用バケットへのアクセスを明示的に拒否する (このポリシーを表示)。

• IAM ユーザーが Amazon S3 の自分のホームディレクトリにプログラムによりコンソールでアクセスすることを許可する (このポリシーを表示)。

• ユーザーに 1 つの Amazon S3 バケットの管理を許可し、他のすべての AWS アクションおよびリソースを拒否する (このポリシーを表示)。

• 特定の Read バケットへの Write と Amazon S3 アクセスを許可する (このポリシーを表示)。

• 特定の Read バケットにプログラムによりコンソールで Write および Amazon S3 アクセスを許可する (このポリシーを表示)。