Amazon API Gateway と IAM の連携方法
IAM を使用して API Gateway へのアクセスを管理する前に、API Gateway で使用できる IAM 機能について理解しておく必要があります。API Gateway およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM ユーザーガイドの「IAM と連携する AWS のサービス」を参照してください。
API Gateway のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。API Gateway は、特定のアクション、リソース、および条件キーをサポートしています。API Gateway 固有のアクション、リソース、条件キーの詳細については、「Amazon API Gateway Management のアクション、リソース、および条件キー」および「Amazon API Gateway Management V2 のアクション、リソース、および条件キー」を参照してください。JSON ポリシーで使用するすべての要素については、IAM ユーザーガイドの「IAM JSON ポリシーの要素のリファレンス」を参照してください。
次の例は、ユーザーがプライベート REST API だけを作成または更新できるようにする ID ベースのポリシーを示しています。その他の例については、「Amazon API Gateway のアイデンティティベースのポリシーの例」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ScopeToPrivateApis", "Effect": "Allow", "Action": [ "apigateway:PATCH", "apigateway:POST", "apigateway:PUT" ], "Resource": [ "arn:aws:apigateway:us-east-1::/restapis", "arn:aws:apigateway:us-east-1::/restapis/??????????" ], "Condition": { "ForAllValues:StringEqualsIfExists": { "apigateway:Request/EndpointType": "PRIVATE", "apigateway:Resource/EndpointType": "PRIVATE" } } }, { "Sid": "AllowResourcePolicyUpdates", "Effect": "Allow", "Action": [ "apigateway:UpdateRestApiPolicy" ], "Resource": [ "arn:aws:apigateway:us-east-1::/restapis/*" ] } ] }
アクション
JSON ポリシーの Action 要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。
API Gateway のポリシーアクションでは、アクションの前にプレフィックス apigateway: を使用します。ポリシーステートメントには、Action または NotAction エレメントを含める必要があります。API Gateway は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
API が管理する Action 式の形式は apigateway: であり、ここで actionaction は、GET、POST、PUT、DELETE、PATCH (リソースの更新用)、または * (これまでのアクションすべて) の API Gateway アクションのいずれかになります。
Action 式のいくつかの例は以下の通りです。
-
apigateway:*すべての API Gateway アクションについては 。 -
apigateway:GETAPI Gateway の GET アクションのみについては 。
単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。
"Action": [ "apigateway:action1", "apigateway:action2"
特定の API Gateway オペレーションに使用する HTTP 動詞については、「 Amazon API Gateway Version 1 API Reference (REST API ) 」および「 Amazon API Gateway Version 2 API Reference (WebSocket API および HTTP API) 」を参照してください。
詳細については、「Amazon API Gateway のアイデンティティベースのポリシーの例」を参照してください。
リソース
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件でアクションを実行できるかということです。
Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ステートメントにはResource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
操作のリスト化など、リソースレベルの許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。
"Resource": "*"
API Gateway リソースには、次の ARN 形式があります。
arn:aws:apigateway:region::resource-path-specifier
たとえば、ステートメントの認証者など、ID とそのサブリソースで REST API を指定するには、次の ARN を使用します。api-id
"Resource": "arn:aws:apigateway:us-east-2::/restapis/api-id/*"
特定のアカウントに属するすべての REST API やサブリソースを指定するには、ワイルドカード (*) を使用します。
"Resource": "arn:aws:apigateway:us-east-2::/restapis/*"
API Gateway リソースタイプとそれらの ARN の一覧については、「API Gateway Amazon リソースネーム (ARN) リファレンス」を参照してください。
条件キー
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件でアクションを実行できるかということです。
Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、AWS では AND 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では OR 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、「IAM ユーザーガイド」の「IAM ポリシーの要素: 変数およびタグ」を参照してください。
AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。
API Gateway は独自の条件キーを定義し、一部のグローバル条件キーの使用もサポートしています。API Gateway の条件キーの一覧については、IAM ユーザーガイドの「Amazon API Gateway の条件キー」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「Amazon API Gateway Management V2 のアクション、リソース、および条件キー」を参照してください。
属性ベースのアクセスコントロールなど、タグ付けの詳細については、API Gateway リソースのタグ付け を参照してください。
例
API Gateway アイデンティティベースのポリシーの例については、「Amazon API Gateway のアイデンティティベースのポリシーの例」を参照してください。
API Gateway リソースベースのポリシー
リソースベースのポリシーとは、 API Gateway リソース上で指定するプリンシパルとしてのどのアクションをどの条件で実行できるかを指定する JSON ポリシードキュメントです。API Gateway は、REST API のリソースベースのアクセス許可ポリシーをサポートします。リソースポリシーを使用して、REST API を呼び出すことができるユーザーを管理します。詳細については、「API Gateway リソースポリシーを使用して REST API へのアクセスを制御する」を参照してください。
例
API Gateway リソースベースのポリシーの例については、「API Gateway リソースポリシーの例」を参照してください。
API Gateway タグに基づく認可
API Gateway リソースにタグをアタッチしたり、リクエスト内のタグを API Gateway に渡したりできます。タグに基づいてアクセスを制御するには、apigateway:ResourceTag/、key-nameaws:RequestTag/、または key-nameaws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。API Gateway リソースのタグ付けの詳細については、「タグを使用して API Gateway REST API リソースへのアクセスをコントロールする」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例については、「タグを使用して API Gateway REST API リソースへのアクセスをコントロールする」を参照してください。
API Gateway IAM ロール
IAM ロールは AWS アカウント内のエンティティで、特定の許可を持っています。
API Gateway での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。
API Gateway では、一時認証情報の使用をサポートしています。
サービスにリンクされたロール
サービスリンクロールは、AWS サービスが他のサービスのリソースにアクセスしてお客様の代わりにアクションを完了することを許可します。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
API Gateway は、サービスリンクロールをサポートします。API Gateway サービスにリンクされたロールの作成または管理の詳細については、「API Gateway でのサービスリンクロールの使用」を参照してください。
サービスロール
サービスは、ユーザーに代わってサービスロールを引き受けることができます。このサービスロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを完了できます。サービスロールロールは、IAM アカウントに表示され、アカウントによって所有されます。そのため、管理者はこのロールのアクセス権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
API Gateway は、サービスロールをサポートします。
