翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Artifact での Identity and Access Management
AWS にサインアップするときには、AWS アカウントに関連付けられた E メールアドレスとパスワードを提供します。これらは ルート認証情報であり、これらの情報を使用すると、AWS Artifact のリソースを始めとするすべての AWS リソースへの完全なアクセスが可能になります。ただし、日常のアクセスにはルートアカウントを使用しないことを強くお勧めします。また、他のユーザーとアカウント認証情報を共有して、アカウントへの完全なアクセスを提供しないことをお勧めします。
ルート認証情報を使用して AWS アカウントにサインインしたり、他のユーザーと認証情報を共有したりするのではなく、自分と、AWS Artifact 内のドキュメントまたは契約へのアクセスを必要とする可能性のあるユーザー用にIAM ユーザーと呼ばれる特別なユーザー ID を作成してください。この方法では、各ユーザーに個別のサインイン情報を提供し、各ユーザーが特定のドキュメントを使うために必要なアクセス許可のみを与えることができます。複数の IAM ユーザーに同じアクセス許可を付与するには、IAM グループにアクセス許可を付与して、IAM ユーザーをそのグループに追加します。
すでにユーザー ID を AWS の外で管理している場合、IAM ユーザーを作成する代わりに、IAM ID プロバイダーを利用できます。詳細については、 IAM ユーザーガイドの「ID プロバイダーとフェデレーション」を参照してください。
IAM ユーザーを作成し、AWS Artifact へのアクセス権を付与する
以下のステップを完了して、必要なアクセスレベルに基づいて、AWS Artifact へのアクセス許可をユーザーに付与します。
ステップ 1: IAM ポリシーを作成する
IAM 管理者は、AWS Artifact アクションとリソースへのアクセス許可を付与するポリシーを作成できます。
IAM ポリシーを作成するには
IAM ユーザーおよびグループにアクセス許可を付与するために使用できる IAM ポリシーを作成するには、以下の手順を使用します。
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[ポリシー] を選択します。
-
[Create policy] (ポリシーを作成) を選択します。
-
[JSON] タブを選択します。
-
ポリシードキュメントを入力します。独自のポリシーを作成するか、IAM ポリシーの例 のポリシーを使用することもできます。
-
[Review Policy (ポリシーの確認)] を選択します。構文エラーがある場合は、ポリシーバリデータが報告します。
-
[ポリシーの確認] ページで、ポリシーの目的を示す一意の名前を入力します。説明を追加することもできます。
-
[Create policy] (ポリシーの作成) を選択します。
ステップ 2: IAM グループを作成してポリシーをアタッチする
IAM 管理者はグループを作成し、作成したポリシーをグループにアタッチできます。いつでも IAM ユーザーをグループに追加できます。
IAM グループを作成してポリシーをアタッチするには
-
ナビゲーションペインで、[Groups]、[Create New Group] の順に選択します。
-
[グループ名] にグループの名前を入力し、[次のステップ] を選択します。
-
作成したポリシーの名前を検索ボックスに入力します。 ポリシーのチェックボックスを選択にし、[次のステップ] を選択します。
-
グループ名とポリシーを確認します。準備ができたら、[グループの作成] を選択します。
ステップ 3: IAM ユーザーを作成してグループに追加する
IAM 管理者は、いつでもユーザーをグループに追加できます。ユーザーを追加すると、グループに付与された権限がユーザーに付与されます。
IAM ユーザーを作成してグループに追加するには
-
ナビゲーションペインで、[Users] (ユーザー)、[Add user] (ユーザーを追加する) の順に選択します。
-
[ユーザー名] に 1 人または複数のユーザーの名前を入力します。
-
AWS Management Console アクセス の横にあるチェックボックスを選択します。自動生成されたパスワードまたはカスタムパスワードを設定します。必要に応じて、[ーザーは次回のサインインで新しいパスワードを作成する必要があります] を選択して、初回サインイン時にパスワードのリセットを要求できます。
-
[Next: Permissions] (次のステップ: アクセス許可) を選択します。
-
[ユーザーをグループに追加] をクリックし、作成したグループを選択します。
-
[Next: Tags] (次へ: タグ) を選択します。必要に応じて、ユーザーにタグを追加できます。
-
[Next: Review] (次のステップ: レビュー) を選択します。準備が完了したら、[ユーザーの作成] を選択します。
IAM ポリシーの例
IAM ユーザーにアクセス許可を付与するアクセス許可ポリシーを作成できます。単一のアカウントまたは組織に代わって、ユーザーが AWS Artifact レポートにアクセスすること、および契約の受諾およびダウンロードを行うことを許可できます。
次のサンプルポリシーは、必要なアクセスレベルに基づいて IAM ユーザーに割り当てることができるアクセス許可を示します。
例 AWSレポートを管理するポリシーの例
AWSレポートは IAM リソースによって示されますreport-package。
次のポリシーは、AWSすべてのレポートをダウンロードするアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/*" ] } ] }
次のポリシーは、AWS SOC、PCI、および ISO レポートのみをダウンロードするアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/Certifications and Attestations/SOC/*", "arn:aws:artifact:::report-package/Certifications and Attestations/PCI/*", "arn:aws:artifact:::report-package/Certifications and Attestations/ISO/*" ] } ] }
例 サードパーティレポートを管理するポリシーの例
サードパーティのレポートは IAM リソースで示されますreport。
次のポリシーは、すべてのサードパーティレポート機能にアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:ListReports", "artifact:GetReportMetadata", "artifact:GetReport", "artifact:GetTermForReport", ], "Resource": [ "arn:aws:artifact:us-east-1::report/*" ] } ] }
次のポリシーは、サードパーティのレポートをダウンロードするアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:GetReport", "artifact:GetTermForReport" ], "Resource": [ "arn:aws:artifact:us-east-1::report/*" ] } ] }
次のポリシーは、サードパーティのレポートを一覧表示するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:ListReport", ], "Resource": [ "arn:aws:artifact:us-east-1::report/*" ] } ] }
次のポリシーは、サードパーティのレポートの詳細を表示するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:GetReportMetadata", ], "Resource": [ "arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh" ] } ] }
例 契約を管理するポリシーの例
次のポリシーは、すべての契約をダウンロードするアクセス許可を付与します。IAM ユーザーが契約を受諾するには、このアクセス許可も必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:DownloadAgreement" ], "Resource": [ "*" ] } ] }
次のポリシーは、1 つの契約を受諾するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement" ], "Resource": [ "*" ] } ] }
次のポリシーは、1 つの契約を終了するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:TerminateAgreement" ], "Resource": [ "*" ] } ] }
次のポリシーは、1 つアカウント契約を管理するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] } ] }
例 AWS Organizations と統合するポリシーの例
次のポリシーは、AWS Organizations と統合する AWS Artifact ユーザーの IAM ロールを作成するアクセス許可を付与します。組織的な契約を開始するには、組織の管理アカウントにこれらのアクセス許可が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::*:role/*" }, { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync", "Condition": { "ArnEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync" } } } ] }
次のポリシーは、AWS Organizations を使用するアクセス許可を AWS Artifact に付与します。組織的な契約を開始するには、組織の管理アカウントにこれらのアクセス許可が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
例 管理アカウントの契約を管理するポリシーの例
次のポリシーは、管理アカウントの契約を管理するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::*:role/*" }, { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync", "Condition": { "ArnEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
例 組織的な契約を管理するポリシーの例
次のポリシーは、組織的な契約を管理するアクセス許可を付与します。必要な権限を持つ別のユーザーが組織的な契約を設定する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" } ] }
次のポリシーは、組織的な契約を表示するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:DownloadAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" } ] }
