ポリシーを作成して IAM ユーザーにアタッチする - Amazon API Gateway

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

ポリシーを作成して IAM ユーザーにアタッチする

ユーザーが API 管理サービスまたは API 実行サービスを呼び出せるようにするには、IAM ユーザー用に API Gateway エンティティへのアクセスを制御する IAM ポリシーを作成し、そのポリシーを IAM ユーザーにアタッチする必要があります。IAM ポリシーの作成方法については、以下のステップで示します。

独自の IAM ポリシーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. [Policies] を選択してから、[Create Policy] を選択します ([Get Started] ボタンが表示された場合は、そのボタンを選択してから、[Create Policy] を選択します)。

  3. [独自のポリシーを作成] の横で、[選択] を選択します。

  4. [ポリシー名] に、後で参照しやすい任意の値を入力します。オプションとして、[説明] に説明のテキストを入力します。

  5. [ポリシードキュメント] に、以下の形式のポリシーステートメントを入力してから、[ポリシーの作成] を選択します。 

    {
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    },
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    }
  ]
}

    このステートメントでは、action-statement および resource-statement 必要に応じて、他の記述を追加して、 API Gateway 許可したいエンティティを IAM APIメソッドは、 IAM または両方に通話を発信できます。デフォルトでは、対応する明示的な Allow ステートメントがない限り、IAM ユーザーにアクセス権限はありません。

  6. ユーザーのポリシーを有効にするには、[ユーザー] を選択します。

  7. ポリシーをアタッチする IAM ユーザーを選択します。

以上で、IAM ポリシーを作成しました。ポリシーを有効にするには、IAM ユーザー、ユーザーが属する IAM グループ、またはユーザーが引き受ける IAM ロールにアタッチする必要があります。

IAM ポリシーを IAM ユーザーにアタッチするには

  1. 選択したユーザーについて、[Permissions (アクセス許可)] タブ、[ポリシーのアタッチ] の順に選択します。

  2. [権限の付与] で、[既存のポリシーを直接アタッチします] を選択します。

  3. 表示されたリストから作成したばかりのポリシー文書を選択し、 次へ: 確認

  4. [アクセス権限の概要] で、[アクセス権限の追加] を選択します。

別の方法として、ユーザーを IAM グループに追加して (まだグループのメンバーになっていない場合)、そのグループにポリシードキュメントをアタッチできます。アタッチしたポリシーはグループのすべてのメンバーに適用されます。IAM ユーザーのグループに関するポリシー設定は、必要に応じて管理および更新できます。以下では、ポリシーを IAM グループにアタッチする方法について説明します。グループは作成済みで、このグループにユーザーを追加済みであると仮定します。

IAM ポリシードキュメントを IAM グループにアタッチするには

  1. メインのナビゲーションペインで、[グループ] を選択します。

  2. 選択したグループの下で、[Permissions (アクセス許可)] タブを選択します。

  3. [ポリシーのアタッチ] を選択します。

  4. 前に作成したポリシードキュメントを選択して、[ポリシーのアタッチ] を選択します。

ユーザーに代わって API Gateway から AWS の他のサービスを呼び出すには、[Amazon API Gateway] タイプの IAM ロールを作成します。

Amazon API Gateway タイプのロールを作成するには

  1. メインのナビゲーションペインで、[ロール] を選択します。

  2. [Create New Role (新しいロールの作成)] を選択します。

  3. [ロール名] にロールの名前を入力し、[次のステップ] を選択します。

  4. 以下 役割タイプを選択、() AWSサービスの役割、選択 選択 の隣 Amazon API Gateway.

  5. 利用可能な管理 IAM 許可ポリシー、たとえば AmazonAPIGatewayPushToCloudWatchLog 希望すれば API Gateway メトリクスをログに記録するには CloudWatch、以下 ポリシーを添付 選択して 次のステップ.

  6. [信頼されたエンティティ] で、[apigateway.amazonaws.com] がエントリとして表示されていることを確認し、[ロールの作成] を選択します。

  7. 新しく作成したロールで、[Permissions (アクセス許可)] タブ、[ポリシーのアタッチ] の順に選択します。

  8. 前に作成したカスタムの IAM ポリシードキュメントを選択し、[ポリシーのアタッチ] を選択します。