Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要 - Amazon Comprehend Medical
アクションへのアクセスの管理ポリシー要素 (アクション、効果、プリンシパル) の指定ポリシーでの条件の指定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要

アクションへのアクセスは、アクセス許可ポリシーによって管理されます。アカウント管理者は、アクセス許可ポリシーを ID IAM にアタッチして、 アクションへのアクセスを管理します。IAM ID には、ユーザー、グループ、ロールが含まれます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「 ユーザーガイド」のIAM「ベストプラクティスIAM」を参照してください。

アクセス許可を付与するときは、アクセス許可を付与するユーザーとアクションの両方を決定します。

アクションへのアクセスの管理

アクセスポリシーは、誰が何に対するアクセス権を持っているのかを説明します。以下のセクションで、アクセス許可ポリシーのオプションについて説明します。

注記

このセクションでは、Amazon Comprehend Medical のコンテキストIAMについて説明します。IAM サービスに関する詳細情報は提供されません。の詳細についてはIAM、「 ユーザーガイド」の「 とはIAMIAM」を参照してください。IAM ポリシーの構文と説明については、「 ユーザーガイド」のAWSIAM「 ポリシーリファレンスIAM」を参照してください。

IAM ID にアタッチされたポリシーは、アイデンティティベースのポリシーです。リソースにアタッチされたポリシーは、リソースベースのポリシーです。Amazon Comprehend Medical では、アイデンティティベースのポリシーのみがサポートされています。

アイデンティティベースのポリシー (IAM ポリシー)

IAM ID にポリシーをアタッチできます。これらはその 2 つの例です。

  • アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする。ユーザーまたはユーザーのグループが Amazon Comprehend Medical アクションを呼び出すことができるようにするには、アクセス許可ポリシーをユーザーにアタッチします。ユーザーが含まれているグループにポリシーをアタッチします。

  • ロールにアクセス許可ポリシーをアタッチし、クロスアカウントのアクセス許可を付与する クロスアカウントアクセス許可を付与するには、アイデンティティベースのポリシーを IAMロールにアタッチします。例えば、アカウント A の管理者は、別のアカウントにクロスアカウントのアクセス許可を付与するロールを作成できます。この例では、アカウント B を呼び出します。これは AWSサービスである可能性もあります。

    1. アカウント A の管理者は IAMロールを作成し、アカウント A のリソースにアクセス許可を付与するポリシーをロールにアタッチします。

    2. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。

    3. アカウント B の管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーは、アカウント A のリソースを作成またはアクセスできます。 AWSサービスにロールを引き受けるアクセス許可を付与する場合、信頼ポリシーのプリンシパルは AWSサービスプリンシパルになることもできます。

    を使用してアクセス許可IAMを委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理IAM」を参照してください。

Amazon Comprehend Medical でアイデンティティベースのポリシーを使用する場合の詳細については、「Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイド「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

などの他の サービスは AWS Lambda、リソースベースのアクセス許可ポリシーをサポートしています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Comprehend Medical では、リソースベースのポリシーはサポートされていません。

ポリシー要素 (アクション、効果、プリンシパル) の指定

Amazon Comprehend Medical は一連のAPIオペレーションを定義します。これらのAPIオペレーションのアクセス許可を付与するために、Amazon Comprehend Medical はポリシーで指定できる一連のアクションを定義します。

以下の 4 つの項目は、最も基本的なポリシー要素です。

  • リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。Amazon Comprehend Medical の場合、リソースは常に "*" です。

  • アクション – アクションのキーワードを使用して、許可または拒否するオペレーションを識別します。例えば、指定した効果に応じて、comprehendmedical:DetectEntities は Amazon Comprehend Medical DetectEntities オペレーションを実行するためのアクセス許可をユーザーに付与または拒否します。

  • 効果 - ユーザーが特定のアクションをリクエストしたときに起きるアクションの効果 (許可または拒否のいずれか) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。リソースへのアクセスを明示的に拒否することもできます。これにより、別のポリシーでアクセスが許可されている場合でも、ユーザーがリソースにアクセスすることを禁止できます。

  • プリンシパル - アイデンティティベースのポリシーで、ポリシーがアタッチされているユーザーが黙示のプリンシパルになります。

IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」のAWSIAM「 ポリシーリファレンスIAM」を参照してください。

Amazon Comprehend Medical のすべてのアクションを示す表については、「」を参照してくださいAmazon Comprehend Medical アクセス許可: API アクション、リソース、および条件リファレンス。 API

ポリシーでの条件の指定

アクセス許可を付与するときは、IAMポリシー言語を使用して、ポリシーを有効にする条件を指定します。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。

AWS は、アクセスコントロールをサポートするすべての AWS サービスIAMに対して、事前定義された条件キーのセットを提供します。例えば、 aws:userid条件キーを使用して、アクションをリクエストするときに特定の AWS ID を要求できます。キーの詳細と完全なリストについてはAWS、 IAMユーザーガイド「条件に使用可能なキー」を参照してください。

Amazon Comprehend Medical では、追加の条件キーが提供されません。