Amazon Chime アイデンティティベースのポリシーの例 - Amazon Chime
ポリシーのベストプラクティスAmazon Chime コンソールを使用するAmazon Chime へのフルアクセスをユーザーに許可する自分の許可の表示をユーザーに許可するユーザーにユーザー管理アクションへのアクセスを許可するユーザーが Amazon Chime SDK アクションへのアクセスを許可するAWS 管理ポリシー:AmazonChimeVoiceConnectorServiceLinkedRolePolicyAmazon Chime の更新先AWSマネージドポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Chime アイデンティティベースのポリシーの例

IAM ユーザーおよびロールには、デフォルトで Amazon Chime リソースを作成または変更するアクセス許可は付与されていません。AWS Management Console、AWS CLI、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーを添付します。

これらの JSON ポリシードキュメント例を使用して IAM の ID ベースのポリシーを作成する方法については、『IAM ユーザーガイド』の「JSON タブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

アイデンティティベースポリシーは非常に強力です。アカウント内で、Amazon Chime リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、AWS アカウント に追加料金が発生する可能性があります。アイデンティティベースポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従います:

  • の使用を開始しますAWSマネージドポリシー— Amazon Chime をすぐに使い始めるには、AWS管理ポリシーは、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントで既に有効になっており、AWS によって管理および更新されています。詳細については、IAM ユーザーガイドの「AWS 管理ポリシーを使用したアクセス許可の使用スタート」を参照してください。

  • 最小権限を付与する – カスタムポリシーを作成するときは、タスクの実行に必要な許可のみを付与します。最小限のアクセス許可からスタートし、必要に応じて追加のアクセス許可を付与します。この方法は、寛容なアクセス許可で始め、後でそれらを強化しようとするよりも安全です。詳細については、『IAM ユーザーガイド』の「最小特権を認める」を参照してください。

  • 機密性の高い操作に MFA を有効にする – 追加セキュリティとして、機密性の高いリソースまたは API 操作にアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、IAM ユーザーガイドの「AWS での多要素認証 (MFA) の使用」を参照してください。

  • 追加のセキュリティとしてポリシー条件を使用する – 実行可能な範囲内で、ID ベースのポリシーでリソースへのアクセスを許可する条件を定義します。例えば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。詳細については、「」を参照してください。IAM JSON ポリシー要素: 条件IAM ユーザーガイド

Amazon Chime コンソールを使用する

Amazon Chime コンソールにアクセスするには、許可の最小限のセットが必要です。これらのアクセス許可により、Amazon Chime リソースの詳細をリストおよび表示できます。AWSアカウント. 最小限必要な許可よりも厳しく制限がされたアイデンティティベースポリシーを作成すると、そのポリシーをアタッチしたエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

これらのエンティティが Amazon Chime コンソールを使用できるように、以下もアタッチします。AWS管理されたAmazonChimeReadOnlyエンティティに対するポリシー。詳細については、IAM ユーザーガイドの「ユーザーへの許可の追加」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:List*",
                "chime:Get*",
                "chime:SearchAvailablePhoneNumbers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API 操作に一致するアクションのみへのアクセスが許可されます。

Amazon Chime へのフルアクセスをユーザーに許可する

以下のようになりますAWS管理されたAmazonChimeFullAccessポリシーは、IAM ユーザーに Amazon Chime リソースへのフルアクセスを付与します。このポリシーは、Amazon Chime がお客様に代わってが実行できる必要のあるすべての Amazon Chime オペレーションへのアクセス、さらにお客様に許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:GetLogDelivery",
                "logs:ListLogDeliveries",
                "logs:DescribeResourcePolicies",
                "logs:PutResourcePolicy",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "arn:aws:sns:*:*:ChimeVoiceConnector-Streaming*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:GetQueueAttributes",
                "sqs:CreateQueue"
            ],
            "Resource": [
                "arn:aws:sqs:*:*:ChimeVoiceConnector-Streaming*"
            ]
        }
    ]
}

自分の許可の表示をユーザーに許可する

この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

ユーザーにユーザー管理アクションへのアクセスを許可する

を使用するAWS管理されたAmazonChimeUserManagementAmazon Chime コンソールでユーザー管理アクションへのアクセス権をユーザーに付与するポリシー。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:ListAccounts",
                "chime:GetAccount",
                "chime:GetAccountSettings",
                "chime:UpdateAccountSettings",
                "chime:ListUsers",
                "chime:GetUser",
                "chime:GetUserByEmail",
                "chime:InviteUsers",
                "chime:InviteUsersFromProvider",
                "chime:SuspendUsers",
                "chime:ActivateUsers",
                "chime:UpdateUserLicenses",
                "chime:ResetPersonalPIN",
                "chime:LogoutUser",
                "chime:ListDomains",
                "chime:GetDomain",
                "chime:ListDirectories",
                "chime:ListGroups",
                "chime:SubmitSupportRequest",
                "chime:ListDelegates",
                "chime:ListAccountUsageReportData",
                "chime:GetMeetingDetail",
                "chime:ListMeetingEvents",
                "chime:ListMeetingsReportData",
                "chime:GetUserActivityReportData",
                "chime:UpdateUser",
                "chime:BatchUpdateUser",
                "chime:BatchSuspendUser",
                "chime:BatchUnsuspendUser",
                "chime:AssociatePhoneNumberWithUser",
                "chime:DisassociatePhoneNumberFromUser",
                "chime:GetPhoneNumber",
                "chime:ListPhoneNumbers",
                "chime:GetUserSettings",
                "chime:UpdateUserSettings",
                "chime:CreateUser",
                "chime:AssociateSigninDelegateGroupsWithAccount",
                "chime:DisassociateSigninDelegateGroupsFromAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

ユーザーが Amazon Chime SDK アクションへのアクセスを許可する

を使用するAWS管理されたAmazonChimeSDKAmazon Chime SDK アクションへのアクセス権をユーザーに付与するポリシー。詳細については、「」を参照してください。IAM ロールの例Amazon Chime 開発者ガイド, およびAmazon Chime のアクション、リソース、および条件キーサービス認証リファレンス

// Policy ARN: arn:aws:iam::aws:policy/AmazonChimeSDK 
// Description: Provides access to Amazon Chime SDK operations
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:CreateMeeting",
                "chime:CreateMeetingWithAttendees",
                "chime:DeleteMeeting",
                "chime:GetMeeting",
                "chime:ListMeetings",
                "chime:CreateAttendee",
                "chime:BatchCreateAttendee",
                "chime:DeleteAttendee",
                "chime:GetAttendee",
                "chime:ListAttendees",
                "chime:ListAttendeeTags",
                "chime:ListMeetingTags",
                "chime:ListTagsForResource",
                "chime:TagAttendee",
                "chime:TagMeeting",
                "chime:TagResource",
                "chime:UntagAttendee",
                "chime:UntagMeeting",
                "chime:UntagResource",
                "chime:StartMeetingTranscription",
                "chime:StopMeetingTranscription"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 管理ポリシー:AmazonChimeVoiceConnectorServiceLinkedRolePolicy

-AmazonChimeVoiceConnectorServiceLinkedRolePolicyAmazon Chime ボイスコネクタにより、Amazon Polly を使用してメディアを Amazon Kinesis Video Streams にストリーミングし、ストリーミング通知を提供し、音声を合成できます。このポリシーは、Amazon Chime ボイスコネクタサービスに、お客様の Amazon Kinesis Video Streams へのアクセス、Amazon 簡易通知サービスおよび Amazon シンプルキューサービスへの通知イベントの送信、Amazon Chime SDK Voice の使用時に Amazon Polly を使用して音声を合成するアクセス権限を付与します。アプリケーションSpeakそしてSpeakAndGetDigitsアクション。詳細については、「Amazon Chime Voice Connector のサービスリンクロールの使用」を参照してください。

Amazon Chime の更新先AWSマネージドポリシー

次の表では、Amazon Chime IAM ポリシーに対する更新の一覧と説明を示しています。

変更 説明 日付

AWS 管理ポリシー: AmazonChimeVoiceConnectorServiceLinkedRolePolicy— 既存のポリシーへの更新

Amazon Chime Voice Connectors は、Amazon Polly を使用して音声を合成できるようにする新しいアクセス許可を追加しました。これらの権限は、SpeakそしてSpeakAndGetDigitsAmazon Chime SDK 音声アプリケーションでのアクション。

 2022 年 3 月 15 日

AmazonChimeVoiceConnectorServiceLinkedRolePolicy— 既存のポリシーへの更新

Amazon Chime ボイスコネクタは、Amazon Kinesis Video Streams へのアクセスを許可し、SNS および SQS に通知イベントを送信するための新しいアクセス許可を追加しました。これらの権限は、Amazon Chime ボイスコネクタが Amazon Kinesis Video Streams にメディアをストリーミングし、ストリーミング通知を提供するために必要です。

 2021 年 12 月 20 日

既存のポリシーに変更します。Chime SDK ポリシーを使用した IAM ユーザーまたはロールの作成

Amazon Chime は、拡張検証をサポートするために新しいアクションを追加しました。

出席者と会議リソースのリストとタグ付けを可能にし、会議の文字起こしを開始および停止するためのアクションがいくつか追加されました。

 2021 年 9 月 23 日

Amazon Chime が変更の追跡を開始しました

Amazon Chime が、AWS 管理ポリシーに対する変更の追跡を開始しました。

 2021 年 9 月 23 日