AWS Identity and Access Management
ユーザーガイド

ポリシーの例

ポリシーは、ID やリソースにアタッチされるとそれらのアクセス許可を定義する、AWS のエンティティです。AWS は、ユーザーなどのプリンシパルがリクエストを行うときに、これらのポリシーを評価します。ポリシーでのアクセス許可により、リクエストが許可されるか拒否されるかが決まります。ポリシーはアイデンティティベースのポリシーとしてプリンシパルにアタッチされるか、リソースベースのポリシーとしてリソースにアタッチされた JSON ドキュメントとして AWS に保存されます。IAM グループ、ユーザー、ロールなどのプリンシパル (またはアイデンティティ) に、アイデンティティベースのポリシーをアタッチできます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。これらの例の JSON ポリシードキュメントを使用して IAM ポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

デフォルトではすべてのリクエストが拒否されるため、その ID がアクセスするサービス、アクション、リソースへのアクセスを許可する必要があります。IAM コンソールで指定したアクションを完了するためのアクセスも許可する場合は、追加のアクセス許可を提供する必要があります。

以下のポリシーのライブラリは、IAM ID のアクセス許可を定義する参考になります。必要なポリシーを見つけたら、[View this policy (このポリシーの表示)] を選択してそのポリシーの JSON を表示します。JSON のポリシードキュメントをテンプレートとして使用して、独自のポリシーを作成できます。

注記

このリファレンスガイドに含めるポリシーを送信する場合は、このページの下部にある [フィードバック] ボタンを使用します。

ポリシーの例: AWS

ポリシーの例: AWS CodeCommit

  • AWS CodeCommit リポジトリにプログラムおよびコンソールにより Read アクセスすることを許可する (このポリシーを表示)

ポリシーの例: AWS Data Pipeline

ポリシーの例: Amazon DynamoDB

ポリシーの例: Amazon EC2

  • Amazon EC2 インスタンスに対するボリュームのアタッチまたはデタッチを許可する (このポリシーを表示)

  • タグに基づいた Amazon EC2 インスタンスに対する Amazon EBS ボリュームのアタッチまたはデタッチを許可する (このポリシーを表示)

  • 特定のサブネットでプログラムおよびコンソールにより Amazon EC2 インスタンスを起動するのを許可する (このポリシーを表示)

  • 特定の VPC に関連付けられた Amazon EC2 セキュリティグループをプログラムおよびコンソールにより管理することを許可する (このポリシーを表示)

  • ユーザーがタグ付けした Amazon EC2; インスタンスをプログラムおよびコンソールにより開始または停止することを許可する (このポリシーを表示)

  • 特定のリージョン内で Amazon EC2 にプログラムおよびコンソールによりフルアクセスすることを許可する (このポリシーを表示)

  • プログラムおよびコンソールにより特定の Amazon EC2 インスタンスを開始または停止すること、特定のセキュリティグループを変更することを許可する (このポリシーを表示)

  • Amazon EC2 インスタンスの終了を特定の IP アドレス範囲に制限する (このポリシーを表示)

ポリシーの例: AWS Identity and Access Management (IAM)

ポリシーの例: Amazon RDS

  • 特定のリージョン内での Amazon RDS データベースへのフルアクセスを許可する (このポリシーを表示)

  • Amazon RDS データベースをプログラムおよびコンソールにより復元することを許可する (このポリシーを表示)

  • タグ所有者にタグ付けした Amazon RDS リソースへのフルアクセスを許可する (このポリシーを表示)

ポリシーの例: Amazon S3

  • Amazon Cognito ユーザーに自分の Amazon S3 バケット内のオブジェクトへのアクセスを許可する (このポリシーを表示)

  • IAM ユーザーにプログラムおよびコンソールによる Amazon S3 内の自分のホームディレクトリへのアクセスを許可する (このポリシーを表示)

  • ユーザーに 1 つの Amazon S3 バケットの管理を許可し、他のすべての AWS アクションおよびリソースを拒否する (このポリシーを表示)

  • 特定の Amazon S3 バケットへの Read および Write アクセスを許可する (このポリシーを表示)

  • 特定の Amazon S3 バケットにプログラムおよびコンソールにより Read および Write アクセスすることを許可する (このポリシーを表示)