の Identity and Access Management AWS CloudHSM - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Identity and Access Management AWS CloudHSM

AWS ではセキュリティ認証情報を使用して、ユーザーを識別し、AWS リソースへのアクセスを付与します。 AWS Identity and Access Management (IAM) の機能を使用して、他のユーザー、サービス、およびアプリケーションが AWS リソースを完全または限定的な方法で使用できるようにすることができます。その際、お客様のセキュリティ認証情報は共有されません。

デフォルトでは、IAM ユーザーには、AWS リソースを作成、表示、変更するためのアクセス権限はありません。ロードバランサーなどのリソースにアクセスすること、およびタスクを実行することを IAM ユーザーに許可するには、次の操作を行います。

  1. 必要な特定のリソースと API アクションを使用するアクセス許可を IAM ユーザーに付与する IAM ポリシーを作成します。

  2. IAM ユーザーまたは IAM ユーザーが属するグループに、ポリシーをアタッチします。

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。

たとえば、IAM を使用して、お客様の AWS アカウントでユーザーとグループを作成できます。IAM ユーザーは、人、システム、またはアプリケーションです。その後、ユーザーとグループにアクセス許可を付与すると、IAM ポリシーを使用して指定したリソースに対する特定のアクションを実行できます。

IAM ポリシーを使用したアクセス権限の付与

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。

IAM ポリシーは 1 つ以上のステートメントで構成される JSON ドキュメントです。各ステートメントは、次の例に示すように構成されます。

{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
  • [Effect (効果)] — effect は、Allow または Deny にすることができます。デフォルトでは、IAM ユーザーはリソースおよび API アクションを使用するアクセス許可がないため、リクエストはすべて拒否されます。明示的な許可はデフォルトに優先します。明示的な拒否はすべての許可に優先します。

  • Action (アクション)action は、アクセス許可を付与または拒否する対象とする、特定の API アクションです。アクション条件を指定する方法については、の API アクション AWS CloudHSM を参照してください。

  • リソース — action. AWS CloudHSM does の影響を受けるリソースは、リソースレベルのアクセス許可をサポートしていません。すべての AWS CloudHSM リソースを指定するには、* ワイルドカードを使用する必要があります。

  • [Condition (条件)] — ポリシーが有効になるタイミングを制御する条件を必要に応じて使用できます。詳細については、「の条件キー AWS CloudHSM」を参照してください。

詳細については、IAM ユーザーガイドを参照してください。

の API アクション AWS CloudHSM

IAM ポリシーステートメントの Action 要素で、 AWS CloudHSM が提供する任意の API アクションを指定できます。次の例に示すように、アクション名の前に小文字の文字列 cloudhsm: を指定する必要があります。

"Action": "cloudhsm:DescribeClusters"

1 つのステートメントで複数のアクションを指定するには、次の例に示すように、アクションをカンマで区切って全体を角括弧で囲みます。

"Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeHsm" ]

ワイルドカード (*) を使用して複数のアクションを指定することもできます。次の例では、 で始 AWS CloudHSM まる のすべての API アクション名を指定しますList

"Action": "cloudhsm:List*"

すべての API アクションを指定するには AWS CloudHSM、次の例に示すように * ワイルドカードを使用します。

"Action": "cloudhsm:*"

の API アクションのリストについては AWS CloudHSM、AWS CloudHSM 「アクション」を参照してください。

の条件キー AWS CloudHSM

ポリシーを作成するときは、ポリシーをいつ有効にするか制御する条件を指定できます。各条件には 1 つ以上のキーと値のペアが含まれます。グローバル条件キーとサービス固有の条件キーがあります。

AWS CloudHSM には、サービス固有のコンテキストキーはありません。

グローバル条件キーの詳細については、IAM ユーザーガイドAWS global condition context keys を参照してください。

の事前定義された AWS 管理ポリシー AWS CloudHSM

AWS によって作成された管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与します。これらのポリシーを、 AWS CloudHSM に対して必要なアクセス権に基づいて IAM ユーザーにアタッチできます。

  • AWSCloudHSMFullAccess — AWS CloudHSM 機能を使用するために必要なフルアクセスを付与します。

  • AWSCloudHSMReadOnlyAccess — AWS CloudHSM 機能への読み取り専用アクセスを許可します。

のカスタマー管理ポリシー AWS CloudHSM

の実行に必要なアクセス許可のみ AWS CloudHSM を含む の IAM 管理者グループを作成することをお勧めします AWS CloudHSM。適切なアクセス許可を持つポリシーをこのグループにアタッチします。必要に応じて、IAM ユーザーをグループに追加します。追加する各ユーザーは、管理者グループからポリシーを継承します。

また、ユーザーが必要とする権限に基づいて、追加のユーザーグループを作成することをお勧めします。これにより、信頼されたユーザーのみが重要な API アクションにアクセスできるようになります。たとえば、クラスターと HSM への読み取り専用アクセスを許可するために使用するユーザーグループを作成できます。このグループでは、ユーザーがクラスターまたは HSM を削除できないため、信頼できないユーザーが運用ワークロードの可用性に影響を与えることがありません。

新しい AWS CloudHSM 管理機能が時間の経過とともに追加されるにつれて、信頼されたユーザーのみがすぐにアクセスできるようになります。作成時に、制限付きのアクセス許可をポリシーに割り当てることで、後に新しい機能のアクセス許可を手動でユーザーに割り当てることができます。

以下は、 のポリシーの例です AWS CloudHSM。ポリシーの作成方法とIAM ユーザーグループへのアタッチ方法の詳細については、IAM ユーザーガイド「[JSON] タブでのポリシーの作成 」を参照してください。

例: 読み取り専用アクセス許可

このポリシーでは、DescribeClusters および DescribeBackups API アクションへのアクセスを許可します。また、このポリシーには、特定の Amazon EC2 API アクションのアクセス許可が含まれています。このポリシーでは、ユーザーはクラスターまたは HSM を削除することはできません。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
例: パワーユーザーのアクセス許可

このポリシーは、 AWS CloudHSM API アクションのサブセットへのアクセスを許可します。また、このポリシーには特定の Amazon EC2 アクションのアクセス許可が含まれています。このポリシーでは、ユーザーはクラスターまたは HSM を削除することはできません。アカウントに AWSServiceRoleForCloudHSM サービスにリンクされたロールを自動的に作成 AWS CloudHSM するには、 iam:CreateServiceLinkedRoleアクションを含める必要があります。このロールにより、 はイベント AWS CloudHSM をログに記録できます。詳細については、「のサービスにリンクされたロール AWS CloudHSM」を参照してください。

注記

各 API の特定の権限を確認するには、「サービス認可リファレンス AWS CloudHSM」の「 のアクション、リソース、および条件キー」を参照してください。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
例: 管理者権限

このポリシーは、HSMs とクラスターを削除するアクションを含む、すべての AWS CloudHSM API アクションへのアクセスを許可します。また、このポリシーには特定の Amazon EC2 アクションのアクセス許可が含まれています。が AWSServiceRoleForCloudHSM サービスにリンクされたロール AWS CloudHSM をアカウントに自動的に作成できるようにするには、 iam:CreateServiceLinkedRoleアクションを含める必要があります。このロールにより、 はイベント AWS CloudHSM をログに記録できます。詳細については、「のサービスにリンクされたロール AWS CloudHSM」を参照してください。

{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }