ポリシーを作成して IAM ユーザーにアタッチする - Amazon API Gateway

ポリシーを作成して IAM ユーザーにアタッチする

ユーザーが API 管理サービスまたは API 実行サービスを呼び出せるようにするには、IAM ユーザー用に API Gateway エンティティへのアクセスを制御する IAM ポリシーを作成し、そのポリシーを IAM ユーザーにアタッチする必要があります。IAM ポリシーの作成方法については、以下のステップで示します。

独自の IAM ポリシーを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Policies] を選択してから、[Create Policy] を選択します [ご利用開始にあたって] ボタンが表示されたら、そのボタンを選択して、[ポリシーの作成] を選択します。

  3. [独自のポリシーを作成] の横で、[選択] を選択します。

  4. [ポリシー名] に、後で参照しやすい任意の値を入力します。オプションとして、[説明] に説明のテキストを入力します。

  5. [ポリシードキュメント] に、以下の形式のポリシーステートメントを入力してから、[ポリシーの作成] を選択します。 

    {
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    },
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    }
  ]
}

    このステートメントで、必要に応じて action-statementresource-statement を置き換えます。また、IAM ユーザーに管理を許可する API Gateway エンティティ、IAM ユーザーが呼び出せる API メソッド、または両方を指定するための他のステートメントを追加します。デフォルトでは、対応する明示的な Allow ステートメントがない限り、IAM ユーザーにアクセス許可はありません。

  6. ユーザーのポリシーを有効にするには、[ユーザー] を選択します。

  7. ポリシーをアタッチする IAM ユーザーを選択します。

以上で、IAM ポリシーを作成しました。ポリシーを有効にするには、IAM ユーザー、ユーザーが属する IAM グループ、またはユーザーが引き受ける IAM ロールにアタッチする必要があります。

IAM ポリシーを IAM ユーザーにアタッチするには

  1. 選択したユーザーについて、[Permissions (アクセス許可)] タブ、[ポリシーのアタッチ] の順に選択します。

  2. [権限の付与] で、[既存のポリシーを直接アタッチします] を選択します。

  3. 表示されたリストから、先ほど作成したポリシードキュメントを選択し、[次へ: レビュー] を選択します。

  4. [アクセス権限の概要] で、[アクセス権限の追加] を選択します。

別の方法として、ユーザーを IAM グループに追加して (まだグループのメンバーになっていない場合)、そのグループにポリシードキュメントをアタッチできます。アタッチしたポリシーはグループのすべてのメンバーに適用されます。IAM ユーザーのグループに関するポリシー設定は、必要に応じて管理および更新できます。以下では、ポリシーを IAM グループにアタッチする方法について説明します。グループは作成済みで、このグループにユーザーを追加済みであると仮定します。

IAM ポリシードキュメントを IAM グループにアタッチするには

  1. メインのナビゲーションペインで、[グループ] を選択します。

  2. 選択したグループの下で、[Permissions (アクセス許可)] タブを選択します。

  3. [Attach policy] を選択します。

  4. 前に作成したポリシードキュメントを選択して、[ポリシーのアタッチ] を選択します。

API Gateway がユーザーに代わって AWS の他のサービスを呼び出すには、Amazon API Gateway タイプの IAM ロールを作成します。

Amazon API Gateway タイプのロールを作成するには

  1. メインのナビゲーションペインで、[ロール] を選択します。

  2. [Create New Role] を選択します。

  3. [ロール名] にロールの名前を入力し、[次のステップ] を選択します。

  4. [Select Role Type] (ロールタイプの選択) にある [AWS Service Roles] (AWS のサービスロール) で、[Amazon API Gateway] の横にある [Select] (選択) をクリックします。

  5. API Gateway で CloudWatch にメトリクスを記録する場合は、[ポリシーのアタッチ] で、使用可能な IAM 管理対象アクセス許可ポリシー ([AmazonAPIGatewayPushToCloudWatchLog] など) を選択し、[次のステップ] を選択します。

  6. [信頼されたエンティティ] で、[apigateway.amazonaws.com] がエントリとして表示されていることを確認し、[ロールの作成] を選択します。

  7. 新しく作成したロールで、[Permissions (アクセス許可)] タブ、[ポリシーのアタッチ] の順に選択します。

  8. 前に作成したカスタムの IAM ポリシードキュメントを選択し、[ポリシーのアタッチ] を選択します。