IAM アイデンティティベースのポリシーの例
ポリシーは AWS のオブジェクトであり、アイデンティティやリソースに関連付けて、これらのアクセス許可を定義します。AWS は、IAM プリンシパル (ユーザーまたはロール) によってリクエストが行われると、それらのポリシーを評価します。ポリシーでの権限により、リクエストが許可されるか拒否されるかが決まります。通常、ポリシーは、IAM エンティティ (ユーザー、ユーザーのグループ、ロール) にアタッチされている JSON ドキュメントとして AWS に保存されます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。これらの例の JSON ポリシードキュメントを使用して IAM ポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。
デフォルトではすべてのリクエストが拒否されるため、その ID がアクセスするサービス、アクション、リソースへのアクセスを許可する必要があります。IAM コンソールで指定したアクションを完了するためのアクセスも許可する場合は、追加のアクセス許可を提供する必要があります。
以下のポリシーのライブラリは、IAM ID のアクセス許可を定義する参考になります。必要なポリシーを見つけたら、[View this policy (このポリシーを表示)] を選択してそのポリシーの JSON を表示します。JSON のポリシードキュメントをテンプレートとして使用して、独自のポリシーを作成できます。
注記
このリファレンスガイドに含めるポリシーを送信する場合は、このページの下部にある [フィードバック] ボタンを使用します。
ポリシーの例: AWS
-
特定の日付範囲内のアクセスを許可します。(このポリシーを表示。)
-
AWS リージョンの有効化と無効化 (このポリシーを表示。)
-
MFA で認証されたユーザーが [セキュリティ認証情報] ページで自分の認証情報を管理できるようにします。(このポリシーを表示。)
-
指定した日付の範囲内で MFA を使用したときに特定のアクセスを許可する。(このポリシーを表示。)
-
ユーザーが [セキュリティ認証情報] ページで自分の認証情報を管理できるようにします。(このポリシーを表示。)
-
ユーザーが [セキュリティ認証情報] ページで自分の MFA デバイスを管理できるようにします。(このポリシーを表示。)
-
ユーザーが [セキュリティ認証情報] ページで自分のパスワードを管理できるようにします。(このポリシーを表示。)
-
ユーザーが [セキュリティ認証情報] ページで自分のパスワード、アクセスキー、および SSH パブリックキーを管理できるようにします。(このポリシーを表示。)
-
リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する (このポリシーを表示。)
-
送信元 IP に基づいて AWS へのアクセスを拒否する (このポリシーを表示。)
ポリシーの例: AWS Data Exchange
-
AWS Data Exchange 以外のアカウント外の Amazon S3 リソースへのアクセスを拒否します。(このポリシーを表示。)
ポリシーの例: AWS Data Pipeline
-
ユーザーが作成していないパイプラインへのアクセスを拒否する (このポリシーを表示)。
ポリシーの例: Amazon DynamoDB
ポリシーの例: Amazon EC2
-
タグに基づいて Amazon EC2 インスタンスに Amazon EBS ボリュームをアタッチまたはデタッチすることを許可する (このポリシーを表示)。
-
特定のサブネットで、プログラムおよびコンソールで Amazon EC2 インスタンスを起動することを許可する (このポリシーを表示)
-
特定の VPC に関連付けられた Amazon EC2 セキュリティグループを、プログラムによりコンソールで管理することを許可する (このポリシーを表示)。
-
ユーザーがタグ付けした Amazon EC2 インスタンスをプログラムによりコンソールで開始や停止を行うことを許可する (このポリシーを表示)。
-
Amazon EC2 インスタンスを、リソースおよびプリンシパルのタグに基づき、プログラムを使用する、およびコンソールで開始または停止することを許可する (このポリシーを表示)。
-
リソースとプリンシパルのタグが一致すると、Amazon EC2 インスタンスの開始または停止を許可する (このポリシーを表示)。
-
特定のリージョンでの完全な Amazon EC2 アクセスをプログラムによりコンソールで許可する (このポリシーを表示。)
-
プログラムおよびコンソールで特定の Amazon EC2 インスタンスの起動または停止、および特定のセキュリティグループの変更を許可する (このポリシーを表示)
-
MFA なしで特定の Amazon EC2 オペレーションへのアクセスを拒否する (このポリシーを表示)。
-
Amazon EC2 インスタンスの削除を特定の IP アドレス範囲に制限する (このポリシーを表示)
ポリシーの例: AWS Identity and Access Management (IAM)
-
Policy Simulator API へのアクセスを許可する (このポリシーを表示)。
-
Policy Simulator コンソールへのアクセスを許可する (このポリシーを表示)。
-
特定のタグを持つロールを引き受けることをプログラムによりコンソールで許可する (このポリシーを表示)。
-
複数のサービスへのアクセスをプログラムによりコンソールで許可および拒否する (このポリシーを表示)。
-
特定のタグを、別の特定のタグ、プログラム、およびコンソールで IAM ユーザーに追加することを許可する (このポリシーを表示)。
-
任意の IAM ユーザーまたはロールに、特定のタグをプログラムによりコンソールで追加することを許可する (このポリシーを表示)。
-
特定のタグでのみ新規ユーザーを作成することを許可する (このポリシーを表示)。
-
IAM 認証情報レポートの生成および取得を許可する (このポリシーを表示)。
-
グループメンバーをプログラムによりコンソールで管理することを許可する (このポリシーを表示)。
-
特定のタグの管理を許可する (このポリシーを表示)。
-
IAM ロールを特定のサービスに渡すことを許可する (このポリシーを表示)。
-
レポートなしでの IAM コンソールへの読み取り専用アクセスを許可する (このポリシーを表示)。
-
IAM コンソールへの読み取り専用アクセスを許可する (このポリシーを表示)。
-
特定のユーザーによるグループの管理をプログラムによりコンソールで許可する (このポリシーを表示)。
-
アカウントのパスワード要件の設定をプログラムによりコンソールで許可する (このポリシーを表示)。
-
特定のパスがあるユーザーに Policy Simulator API の使用を許可する (このポリシーを表示)。
-
特定のパスがあるユーザーに Policy Simulator コンソールの使用を許可する (このポリシーを表示)。
-
IAM: ユーザーに MFA デバイスの自己管理を許可する (このポリシーを表示。)
-
IAM ユーザーが自分の認証情報をプログラムまたはコンソールで設定することを許可する。(このポリシーを表示。)
-
IAM コンソールで AWS Organizations ポリシーのサービスの最終アクセス情報を表示することを許可する。(このポリシーを表示。)
-
IAM ユーザー、グループ、またはロールに適用できる管理ポリシーを制限する (このポリシーを表示)。
-
アカウント内の IAM ポリシーにのみアクセスを許可します (このポリシーを表示)。
ポリシーの例: AWS Lambda
-
Amazon DynamoDB テーブルにアクセスする AWS Lambda 関数を許可する (このポリシーを表示)。
ポリシーの例: Amazon RDS
ポリシーの例: &Amazon S3
-
Amazon Cognito ユーザーが自分の Amazon S3 バケットのオブジェクトにアクセスすることを許可する (このポリシーを表示)
-
フェデレーションユーザーに Amazon S3 内の自分のホームディレクトリへのプログラム的なアクセスとコンソールを使用したアクセスを許可する (このポリシーを表示)。
-
完全な S3 アクセスを許可しても、管理者が過去 30 分以内に MFA を使用してサインインしていない場合は本番稼働用バケットへのアクセスを明示的に拒否する (このポリシーを表示)。
-
IAM ユーザーが Amazon S3 の自分のホームディレクトリにプログラムおよびコンソールでアクセスすることを許可する (このポリシーを表示)
-
ユーザーに 1 つの Amazon S3 バケットの管理を許可し、他のすべての AWS アクションおよびリソースを拒否する (このポリシーを表示)。
-
特定の Amazon S3 バケットへの
ReadとWriteアクセスを許可する (このポリシーを表示) -
特定の Amazon S3 バケットにプログラムおよびコンソールで
ReadおよびWriteアクセスを許可する (このポリシーを表示)
