の AWS Application Discovery Service 仕組み IAM - AWS Application Discovery Service
Application Discovery Service のアイデンティティベースポリシーApplication Discovery Service のリソースベースポリシーApplication Discovery Service タグに基づく承認Application Discovery Service IAM ロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の AWS Application Discovery Service 仕組み IAM

IAM を使用して Application Discovery Service へのアクセスを管理する前に、Application Discovery Service で使用できるIAM機能を理解しておく必要があります。Application Discovery Service およびその他の AWS のサービスが と連携する方法の概要を把握するにはIAM、「 IAMユーザーガイド」のAWS 「 と連携IAMする のサービス」を参照してください。

Application Discovery Service のアイデンティティベースポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Application Discovery Service は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「 ユーザーガイド」のIAMJSON「 ポリシー要素リファレンスIAM」を参照してください。

アクション

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS APIオペレーションと同じです。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Application Discovery Service のポリシーアクションは、アクションの前にプレフィックス discovery: を使用します。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Application Discovery Service は、このサービスで実行できるタスクを記述する、独自のアクション一式を定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "discovery:action1",
      "discovery:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "discovery:Describe*"

Application Discovery Service アクションのリストを確認するには、「 ユーザーガイド」の「 で定義されるアクション AWS Application Discovery ServiceIAM」を参照してください。

リソース

Application Discovery Service は、ポリシーARNsでのリソースの指定をサポートしていません。アクセスを分離するには、個別の を作成して使用します AWS アカウント。

条件キー

Application Discovery Service はサービス固有の条件キーを提供しませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、「 IAMユーザーガイドAWS 」の「グローバル条件コンテキストキー」を参照してください。

Application Discovery Service のアイデンティティベースポリシーの例を確認するには、「AWS Application Discovery Service ID ベースのポリシーの例」を参照してください。

Application Discovery Service のリソースベースポリシー

Application Discovery Service は、リソースベースポリシーをサポートしません。

Application Discovery Service タグに基づく承認

Application Discovery Service は、リソースのタグ付け、またはタグに基づいたアクセスの制御をサポートしません。

Application Discovery Service IAM ロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

Application Discovery Service での一時的な認証情報の使用

Application Discovery Service は一時的な認証情報の使用をサポートしません。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールはIAMアカウントに表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Application Discovery Service はサービスリンクロールをサポートします。Application Discovery Service のサービスリンクロールの作成または管理の詳細については、「Application Discovery Service 用のサービスリンクロールの使用」を参照してください。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAMアカウントに表示され、アカウントによって所有されます。つまり、IAM管理者はこのロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Application Discovery Service はサービスロールをサポートします。