のアクセス管理 AWS DataSync - AWS DataSync
DataSync リソースとオペレーションリソース所有権についてリソースへのアクセスの管理ポリシー要素の指定: アクション、効果、リソース、プリンシパルポリシーでの条件の指定

2023 年 12 月 7 日より、バージョン 1 DataSync のエージェントは廃止されます。 DataSync コンソールの [エージェント] ページをチェックして、影響を受けるエージェントがいないか確認してください。その場合は、データ転送やストレージ検出の中断を避けるため、その前にそれらのエージェントを交換してください。さらにサポートが必要な場合は、お問い合わせくださいAWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のアクセス管理 AWS DataSync

AWSすべてのリソースはが所有しています。AWS アカウントリソースを作成またはアクセスするためのアクセス許可は、アクセス許可ポリシーで管理されます。アカウント管理者は、AWS Identity and Access Management (IAM) ID にアクセス権限ポリシーをアタッチできます。一部のサービス (AWS Lambda など) は、アクセス許可ポリシーをリソースに添付することができます。

注記

アカウント管理者は、の管理者権限を持つユーザーです。AWS アカウント詳細については、「IAM ユーザーガイド」の「IAM ベストプラクティス」を参照してください。

DataSync リソースとオペレーション

の主なリソースは DataSync、エージェント、ロケーション、タスク、タスク実行です。

これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ ARN 形式

エージェント ARN

arn:aws:datasync:region:account-id:agent/agent-id
場所 ARN

arn:aws:datasync:region:account-id:location/location-id
タスク ARN

arn:aws:datasync:region:account-id:task/task-id

タスクの実行 ARN

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

タスクの作成など、特定の API 操作にアクセス権限を付与するには、 DataSync アクセス権限ポリシーで指定できる一連のアクションを定義します。1 つの API オペレーションに複数のアクションを定義して、それらのアクションのためのアクセス権限を付与することが必要になる場合があります。すべての DataSync API アクションとそれらが適用されるリソースのリストについては、を参照してくださいDataSync API 権限:アクションとリソース

リソース所有権について

リソース所有者は、リソースを作成した AWS アカウント です。つまり、リソース所有者は、リソースを作成するリクエストを認証するプリンシパルエンティティ (たとえば IAM ロール) のオーナーです。AWS アカウント以下の例は、この動作の仕組みを示しています。

  • のルートアカウント認証情報を使用してタスクを作成すると、自分がリソースの所有者になります (では DataSync、リソースはタスクです)。AWS アカウント AWS アカウント

  • で IAM ロールを作成し、CreateTaskそのユーザーにアクションへのアクセス権限を付与すると、そのユーザーはタスクを作成できます。AWS アカウントただし、ユーザーが属するAWS アカウントはタスクリソースを所有しています。

  • タスクを作成するアクセス権限を持つ AWS アカウント にIAM ロールを作成する場合は、ロールを引き受けることのできるすべてのユーザーがタスクを作成できます。タスクリソースを所有しているのは、このロールが属する ユーザーのAWS アカウントです。

リソースへのアクセスの管理

アクセス許可ポリシーでは、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、のコンテキストでの IAM の使用について説明します。 DataSyncこれは、IAM サービスに関する詳細情報を取得できません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「What is IAM?」(IAM とは?) を参照してください。IAM ポリシーの構文の詳細と説明については、 IAM ユーザーガイドAWS Identity and Access Management IAM ポリシーリファレンス を参照してください。

IAM ID にアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 DataSync ID ベースのポリシー (IAM ポリシー) のみをサポートします。

アイデンティティベースのポリシー

DataSync リソースアクセスは IAM ポリシーで管理できます。これらのポリシーは、AWS アカウント管理者が以下のことを行うのに役立ちます。 DataSync

  • DataSyncリソースの作成と管理の権限を付与 — IAM AWS アカウント ロールにエージェント、ロケーション、 DataSync タスクなどのリソースの作成と管理を許可する IAM ポリシーを作成します。

  • AWS アカウント別のまたは内のロールにアクセス権限を付与 AWS のサービス — 別の IAM ロールにアクセス権限を付与する IAM ポリシーを作成します。AWS アカウント AWS のサービス例:

    1. アカウント A の管理者は IAM ロールを作成し、アカウント A のリソースにアクセス権限を付与するロールにアクセス権限ポリシーをアタッチします。

    2. アカウント A の管理者は、ロールを引き受けることができるプリンシパルとしてアカウント B を識別する信頼ポリシーをロールにアタッチします。

      アカウント A の管理者は、AWS のサービスロールを引き受ける権限を付与するために、AWS のサービスを信頼ポリシーのプリンシパルとして指定できます。

    3. アカウント B の管理者は、ロールを引き受ける権限をアカウント B のすべてのユーザーに委任できます。これにより、アカウント B のロールを使用するすべてのユーザーが、アカウント A のリソースを作成したり、アクセスしたりできるようになります。

    IAM を使用したアクセス許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。

次のポリシー例は、List*すべてのリソースに対するすべてのアクションにアクセス許可を付与します。このアクションは読み取り専用のアクションで、リソースを変更することはできません。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

で ID ベースのポリシーを使用する方法について詳しくは DataSync、「AWS管理ポリシーとカスタマー管理ポリシー」を参照してください。IAM ID の詳細については、『IAM ユーザーガイド』を参照してください。

リソースベースのポリシー

Amazon S3 などの他のサービスでは、リソースベースのアクセス権限ポリシーもサポートしています。例えば、ポリシーを Amazon S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。ただし、 DataSync リソースベースのポリシーはサポートされていません。

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

DataSync サービスはリソースごとに (「」を参照DataSync API 権限:アクションとリソース)、一連の API オペレーションを定義します (「アクション」を参照)。これらの API オペレーションにアクセス権限を付与するには、 DataSync ポリシーで指定できる一連のアクションを定義します。たとえば、 DataSync リソースには、、、というアクションが定義されていますCreateTaskDescribeTaskDeleteTask1 つの API オペレーションの実行で、複数のアクションのアクセス権限が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。

  • [Resource] (リソース) – ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。 DataSync のリソースでは、IAM ポリシーでワイルドカード文字 ((*)) を使用できます。詳細については、「DataSync リソースとオペレーション」を参照してください。

  • [Action] (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、Effect指定された要素に応じて、datasync:CreateTask DataSync CreateTask権限によって操作を実行するユーザー権限が許可または拒否されます。

  • 効果 — ユーザーが特定のアクションをリクエストしたときの効果を指定します。この効果はまたはのどちらでもかまいません。Allow Denyリソースへのアクセスを明示的に許可しない (Allow) 場合、アクセスは暗黙的に拒否されます。また、リソースへのアクセスを明示的に拒否することもできます。これは、別のポリシーでそのユーザーにアクセス権が付与されている場合でも、ユーザーがそのリソースにアクセスできないようにするためです。詳細については、IAM ユーザーガイドの承認」を参照してください。

  • プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用)。 DataSync では、リソースベースのポリシーはサポートされていません。

IAM ポリシーの構文と説明の詳細は IAM ユーザーガイド のAWS Identity and Access Management ポリシーリファレンスを参照してください。

すべての DataSync API アクションを示す表については、を参照してくださいDataSync API 権限:アクションとリソース

ポリシーでの条件の指定

アクセス権限を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になるために必要とされる条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件指定の詳細については、IAM ユーザーガイドの条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。 DataSync に固有の条件キーはありません。ただし、AWS必要に応じて使用できる幅広い条件キーがあります。AWSワイドキーの全リストについては、IAM ユーザーガイドの使用可能なキー」を参照してください。