IAM: 特定の AWS のサービスに IAM ロールを渡す - AWS Identity and Access Management

IAM: 特定の AWS のサービスに IAM ロールを渡す

この例では、次のような IAM ポリシーを作成する方法を示します。 では、IAM サービスロールを Amazon CloudWatch サービスに渡すことができます。このポリシーでは、AWS API または AWS CLI からのみ、このアクションを実行するために必要なアクセス権限を付与します。このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

サービスロールは、ロールを引き受けることができるプリンシパルとして AWS サービスを指定する IAM ロールです。これにより、サービスはユーザーに代わってロールを引き受け、他のサービスのリソースにアクセスできます。Amazon CloudWatch がユーザーが渡すロールを引き受けるようにするには、ユーザーのロールの信頼ポリシーのプリンシパルとして cloudwatch.amazonaws.com サービスプリンシパルを指定する必要があります。サービスプリンシパルはサービスによって定義されます。サービスのサービスプリンシパルについては、そのサービスのドキュメントを参照してください。一部のサービスについては、「IAM と連携する AWS のサービス」を参照してください。これらのサービスでは、「サービスにリンクされたロール」列が「はい」になっています。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。amazonaws.com を検索してサービスプリンシパルを表示します。

サービスにサービスロールを渡す方法の詳細については、「AWS のサービスにロールを渡すアクセス権限をユーザーに付与する」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"} } } ] }