翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のアイデンティティとアクセスの管理 AWS CloudHSM
AWS はセキュリティ認証情報を使用してユーザーを識別し、 AWSリソースへのアクセスを許可します。 AWS Identity and Access Management (IAM) の機能を使用すると、他のユーザー、サービス、およびアプリケーションがAWSリソースを完全または限定的な方法で使用できるようになります。その際、お客様のセキュリティ認証情報は共有されません。
デフォルトでは、IAMユーザーにはAWSリソースを作成、表示、または変更するアクセス許可がありません。IAM ユーザーがロードバランサーなどのリソースにアクセスしてタスクを実行できるようにするには、次の操作を行います。
-
必要な特定のリソースとAPIアクションを使用するアクセス許可をIAMユーザーに付与するIAMポリシーを作成します。
-
IAM ユーザーが属するIAMユーザーまたはグループにポリシーをアタッチします。
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
例えば、 IAMを使用してAWSアカウントの下にユーザーとグループを作成できます。ユーザーIAMには、人、システム、またはアプリケーションを指定できます。次に、IAMポリシーを使用して指定されたリソースに対して特定のアクションを実行するアクセス許可をユーザーとグループに付与します。
IAM ポリシーを使用したアクセス許可の付与
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
IAM ポリシーは、1 つ以上のステートメントで構成されるJSONドキュメントです。各ステートメントは、次の例に示すように構成されます。
{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
-
[Effect (効果)] — effect は、
AllowまたはDenyにすることができます。デフォルトでは、IAMユーザーにはリソースとAPIアクションを使用するアクセス許可がないため、すべてのリクエストが拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に上書きされます。 -
アクション — アクションは、アクセス許可を付与または拒否する特定のAPIアクションです。アクション条件を指定する方法については、API のアクション AWS CloudHSM を参照してください。
-
リソース — action. の影響を受けるリソース AWS CloudHSM は、リソースレベルのアクセス許可をサポートしていません。すべての AWS CloudHSM リソースを指定するには、* ワイルドカードを使用する必要があります。
-
[Condition (条件)] — ポリシーが有効になるタイミングを制御する条件を必要に応じて使用できます。詳細については、「の条件キー AWS CloudHSM」を参照してください。
詳細については、IAM「 ユーザーガイド」を参照してください。
API のアクション AWS CloudHSM
IAM ポリシーステートメントのアクション要素で、 AWS CloudHSM が提供する任意のAPIアクションを指定できます。次の例に示すように、アクション名の前に小文字の文字列 cloudhsm: を指定する必要があります。
"Action": "cloudhsm:DescribeClusters"1 つのステートメントで複数のアクションを指定するには、次の例に示すように、アクションをカンマで区切って全体を角括弧で囲みます。
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]ワイルドカード (*) を使用して複数のアクションを指定することもできます。次の例では、 で始 AWS CloudHSM まるすべてのAPIアクション名を指定しますList。
"Action": "cloudhsm:List*"のすべてのAPIアクションを指定するには AWS CloudHSM、次の例に示すように * ワイルドカードを使用します。
"Action": "cloudhsm:*"のAPIアクションのリストについては AWS CloudHSM、AWS CloudHSM 「アクション」を参照してください。
の条件キー AWS CloudHSM
ポリシーを作成するときは、ポリシーをいつ有効にするか制御する条件を指定できます。各条件には 1 つ以上のキーと値のペアが含まれます。グローバル条件キーとサービス固有の条件キーがあります。
AWS CloudHSM には、サービス固有のコンテキストキーはありません。
グローバル条件キーの詳細については、 IAM ユーザーガイドのAWS「グローバル条件コンテキストキー」を参照してください。
の事前定義されたAWS管理ポリシー AWS CloudHSM
によって作成された マネージドポリシーは、一般的なユースケースに必要なアクセス許可AWSを付与します。これらのポリシーは、ユーザーが必要とする へのアクセス AWS CloudHSM に基づいてIAMユーザーにアタッチできます。
-
AWSCloudHSMFullAccess — AWS CloudHSM 機能を使用するために必要なフルアクセスを許可します。
-
AWSCloudHSMReadOnlyAccess — AWS CloudHSM 機能への読み取り専用アクセスを許可します。
のカスタマー管理ポリシー AWS CloudHSM
の実行に必要なアクセス許可のみ AWS CloudHSM を含む のIAM管理者グループを作成することをお勧めします AWS CloudHSM。適切なアクセス許可を持つポリシーをこのグループにアタッチします。必要に応じて、グループにIAMユーザーを追加します。追加する各ユーザーは、管理者グループからポリシーを継承します。
また、ユーザーが必要とする権限に基づいて、追加のユーザーグループを作成することをお勧めします。これにより、信頼できるユーザーのみが重要なAPIアクションにアクセスできます。例えば、クラスターと への読み取り専用アクセス権を付与するために使用するユーザーグループを作成できますHSMs。このグループでは、ユーザーがクラスターまたは を削除できないためHSMs、信頼できないユーザーは本番稼働ワークロードの可用性に影響を与えることはできません。
新しい AWS CloudHSM 管理機能が時間の経過とともに追加されるため、信頼できるユーザーのみがすぐにアクセスできるようになります。作成時に、制限付きのアクセス許可をポリシーに割り当てることで、後に新しい機能のアクセス許可を手動でユーザーに割り当てることができます。
のポリシーの例を次に示します AWS CloudHSM。ポリシーを作成してIAMユーザーグループにアタッチする方法については、IAM「 ユーザーガイド」のJSON「 タブでのポリシーの作成」を参照してください。
例: 読み取り専用アクセス許可
このポリシーは、 DescribeClustersおよび DescribeBackupsAPIアクションへのアクセスを許可します。また、特定の Amazon EC2APIアクションに対する追加のアクセス許可も含まれています。ユーザーはクラスターまたは を削除できませんHSMs。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
例: パワーユーザーのアクセス許可
このポリシーは、アクションの AWS CloudHSM APIサブセットへのアクセスを許可します。また、特定の Amazon EC2アクションに対する追加のアクセス許可も含まれています。これにより、ユーザーはクラスターまたは を削除することはできませんHSMs。アカウントでAWSServiceRoleForCloudHSMサービスにリンクされたロール AWS CloudHSM を自動的に作成するには、 iam:CreateServiceLinkedRoleアクションを含める必要があります。このロールでは AWS CloudHSM 、 がイベントをログに記録します。詳細については、「のサービスにリンクされたロール AWS CloudHSM」を参照してください。
注記
各 の特定のアクセス許可を確認するにはAPI、「サービス認証リファレンス」の「 のアクション、リソース、および条件キー AWS CloudHSM」を参照してください。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
例: 管理者権限
このポリシーは、削除アクションHSMsやクラスターを含むすべての AWS CloudHSM APIアクションへのアクセスを許可します。また、特定の Amazon EC2アクションに対する追加のアクセス許可も含まれています。アカウントでAWSServiceRoleForCloudHSMサービスにリンクされたロール AWS CloudHSM を自動的に作成するには、 iam:CreateServiceLinkedRoleアクションを含める必要があります。このロールでは AWS CloudHSM 、 がイベントをログに記録します。詳細については、「のサービスにリンクされたロール AWS CloudHSM」を参照してください。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }
