ポリシーを作成して IAM ユーザーにアタッチする
ユーザーが API 管理サービスまたは API 実行サービスを呼び出せるようにするには、IAM ユーザー用に API Gateway エンティティへのアクセスを制御する IAM ポリシーを作成し、そのポリシーを IAM ユーザーにアタッチする必要があります。IAM ポリシーの作成方法については、以下のステップで示します。
独自の IAM ポリシーを作成するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[Policies] を選択してから、[Create Policy] を選択します [ご利用開始にあたって] ボタンが表示されたら、そのボタンを選択して、[ポリシーの作成] を選択します。
-
[独自のポリシーを作成] の横で、[選択] を選択します。
-
[ポリシー名] に、後で参照しやすい任意の値を入力します。オプションとして、[説明] に説明のテキストを入力します。
-
[ポリシードキュメント] に、以下の形式のポリシーステートメントを入力してから、[ポリシーの作成] を選択します。
{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "
action-statement
" ], "Resource" : [ "resource-statement
" ] }, { "Effect" : "Allow", "Action" : [ "action-statement
" ], "Resource" : [ "resource-statement
" ] } ] }このステートメントで、必要に応じて
action-statement
とresource-statement
を置き換えます。また、IAM ユーザーに管理を許可する API Gateway エンティティ、IAM ユーザーが呼び出せる API メソッド、または両方を指定するための他のステートメントを追加します。デフォルトでは、対応する明示的なAllow
ステートメントがない限り、IAM ユーザーにアクセス許可はありません。 -
ユーザーのポリシーを有効にするには、[ユーザー] を選択します。
-
ポリシーをアタッチする IAM ユーザーを選択します。
以上で、IAM ポリシーを作成しました。ポリシーを有効にするには、IAM ユーザー、ユーザーが属する IAM グループ、またはユーザーが引き受ける IAM ロールにアタッチする必要があります。
IAM ポリシーを IAM ユーザーにアタッチするには
-
選択したユーザーについて、[Permissions (アクセス許可)] タブ、[ポリシーのアタッチ] の順に選択します。
-
[権限の付与] で、[既存のポリシーを直接アタッチします] を選択します。
-
表示されたリストから、先ほど作成したポリシードキュメントを選択し、[次へ: レビュー] を選択します。
-
[アクセス権限の概要] で、[アクセス権限の追加] を選択します。
別の方法として、ユーザーを IAM グループに追加して (まだグループのメンバーになっていない場合)、そのグループにポリシードキュメントをアタッチできます。アタッチしたポリシーはグループのすべてのメンバーに適用されます。IAM ユーザーのグループに関するポリシー設定は、必要に応じて管理および更新できます。以下では、ポリシーを IAM グループにアタッチする方法について説明します。グループは作成済みで、このグループにユーザーを追加済みであると仮定します。
IAM ポリシードキュメントを IAM グループにアタッチするには
-
メインのナビゲーションペインで、[グループ] を選択します。
-
選択したグループの下で、[Permissions (アクセス許可)] タブを選択します。
-
[Attach policy] を選択します。
-
前に作成したポリシードキュメントを選択して、[ポリシーのアタッチ] を選択します。
API Gateway がユーザーに代わって AWS の他のサービスを呼び出すには、Amazon API Gateway タイプの IAM ロールを作成します。
Amazon API Gateway タイプのロールを作成するには
-
メインのナビゲーションペインで、[ロール] を選択します。
-
[Create New Role] を選択します。
-
[ロール名] にロールの名前を入力し、[次のステップ] を選択します。
-
[AWS Service Roles] (AWS のサービスロール) の [Select Role Type] (ロールタイプの選択) で、[Amazon API Gateway] の横にある [Select] (選択) を選択します。
-
API Gateway で CloudWatch にメトリクスを記録する場合は、[ポリシーのアタッチ] で、使用可能な IAM 管理対象アクセス許可ポリシー ([AmazonAPIGatewayPushToCloudWatchLog] など) を選択し、[次のステップ] を選択します。
-
[信頼されたエンティティ] で、[apigateway.amazonaws.com] がエントリとして表示されていることを確認し、[ロールの作成] を選択します。
-
新しく作成したロールで、[Permissions (アクセス許可)] タブ、[ポリシーのアタッチ] の順に選択します。
-
前に作成したカスタムの IAM ポリシードキュメントを選択し、[ポリシーのアタッチ] を選択します。