Cloud Directory でのアイデンティティベースのポリシー (IAM ポリシー) の使用

このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。

重要

初めに、Cloud Directory リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックを読むことをお勧めします。詳細については、「Cloud Directory リソースへのアクセス権限の管理の概要」を参照してください。

このセクションでは、次のトピックを対象としています。

• AWS Directory Service コンソールを使用するために必要なアクセス権限

• Amazon Cloud Directory の AWS 管理 (定義済み) ポリシー

AWS Directory Service コンソールを使用するために必要なアクセス権限

AWS Directory Service コンソールを使用して作業するユーザーの場合、そのユーザーは、上記のポリシーに記載されているアクセス許可または、Directory Service Full Access Role または Directory Service 読み取り専用ロールによって付与されたアクセス許可を持っている必要があります。詳細については、」Amazon Cloud Directory の AWS 管理 (定義済み) ポリシー。

これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。

Amazon Cloud Directory の AWS 管理 (定義済み) ポリシー

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します。管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、IAM ユーザーガイドの「AWS 管理ポリシー」を参照してください。

アカウントのユーザーにアタッチ可能な以下の AWS 管理ポリシーは、Amazon Cloud Directory に固有のものです。

• Amazonクラウドディレクトリ読み取り専用アクセス— ユーザーまたはグループに Amazon Cloud Directory のすべてのリソースに対する読み取り専用アクセスを許可します。詳細については、AWS マネジメントコンソールの「ポリシー」ページを参照してください。

• Amazonクラウドディレクトリフルアクセス— ユーザーまたはグループに Amazon Cloud Directory へのフルアクセスを許可します。詳細については、AWS マネジメントコンソールの「ポリシー」ページを参照してください。

また、他の IAM ロールとの使用に適している AWS 管理ポリシーもあります。これらのポリシーは、Amazon Cloud Directory 内のユーザーに関連付けられたロールに割り当てられます。また、それらのユーザーが Amazon EC2 などの他の AWS リソースにアクセスするために必要です。

また、ユーザーが必要な API アクションおよびリソースにアクセスできるようにするカスタム IAM ポリシーを作成できます。これらのカスタムポリシーは、それらのアクセス権限が必要な IAM ユーザーまたはグループにアタッチできます。