AWS の 管理ポリシー AWS DataSync

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」を参照してください。

AWS のサービス AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。たとえば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS のサービス および リソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSDataSyncReadOnlyAccess

AWSDataSyncReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーでは、DataSync に対する読み取り専用アクセスを付与します。

JSON

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DataSyncReadOnlyAccessPermissions",
        "Effect": "Allow",
        "Action": [
            "datasync:Describe*",
            "datasync:List*",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "elasticfilesystem:DescribeFileSystems",
            "elasticfilesystem:DescribeMountTargets",
            "fsx:DescribeFileSystems",
            "iam:GetRole",
            "iam:ListRoles",
            "logs:DescribeLogGroups",
            "logs:DescribeResourcePolicies",
            "s3:ListAllMyBuckets",
            "s3:ListBucket"
        ],
        "Resource": "*"
    }]
}

AWS 管理ポリシー: AWSDataSyncFullAccess

AWSDataSyncFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、DataSync の管理権限を付与し、サービス AWS Management Console へのアクセスに必要です。 は、DataSync API オペレーション、および関連リソース (Amazon S3 バケット、Amazon EFS ファイルシステム、 AWS KMS キー、Secrets Manager シークレットなど) とやり取りするオペレーションへのフルアクセスAWSDataSyncFullAccessを提供します。このポリシーは、ロググループの作成、リソースポリシーの作成または更新など、Amazon CloudWatch のアクセス権限も付与します。

JSON

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DataSyncFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "datasync:*",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:ModifyNetworkInterfaceAttribute",
                "fsx:DescribeFileSystems",
                "fsx:DescribeStorageVirtualMachines",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "iam:GetRole",
                "iam:ListRoles",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "outposts:ListOutposts",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3-outposts:ListAccessPoints",
                "s3-outposts:ListRegionalBuckets",
                "secretsmanager:ListSecrets",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DataSyncPassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "datasync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "DataSyncCreateSLRPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "datasync.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerCreateAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerAccess",
            "Effect": "Allow",
            "Action": [

                "secretsmanager:DeleteSecret",
                "secretsmanager:UpdateSecret",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
         }
    ]
}

AWS 管理ポリシー: AWSDataSyncServiceRolePolicy

AWSDataSyncServiceRolePolicy ポリシーは IAM ID に適用できません。このポリシーは、DataSync がユーザーに代わってアクションを実行することを許可するサービスにリンクされたロールにアタッチされます。詳細については、「DataSync のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールが拡張モードを使用して DataSync タスクの Amazon CloudWatch logsを作成できるようにする管理アクセス許可を付与します。

ポリシーの更新

変更	説明	日付
AWSDataSyncFullAccess - 変更	DataSync が のアクセス許可ステートメントを変更しましたAWSDataSyncFullAccess。 更新されたステートメントは、DataSync が Secrets Manager シークレットを作成するために使用するアクセス許可からタグ付け条件を削除します。	2025 年 5 月 13 日
AWSDataSyncFullAccess - 変更	DataSync は AWSDataSyncFullAccess に新しい権限を追加しました。 secretsmanager:CreateSecret secretsmanager:PutSecretValue secretsmanager:DeleteSecret secretsmanager:UpdateSecret これらのアクセス許可により、DataSync はシークレットを作成、編集、削除 AWS Secrets Manager できます。	2025 年 5 月 7 日
AWSDataSyncFullAccess - 変更	DataSync は AWSDataSyncFullAccess に新しい権限を追加しました。 secretsmanager:ListSecrets kms:ListAliases kms:DescribeKey これらのアクセス許可により、DataSync は AWS Secrets Manager AWS KMS キーに関連付けられたエイリアスを含む、シークレットとキーに関するメタデータを取得できます。	2025 年 4 月 23 日
AWSDataSyncServiceRolePolicy - 変更	DataSync は、DataSync サービスにリンクされたロール で使用されるAWSDataSyncServiceRolePolicyポリシーに新しいアクセス許可を追加しましたAWSServiceRoleForDataSync。 secretsmanager:DescribeSecret secretsmanager:GetSecretValue これらのアクセス許可により、DataSync は によって管理されるシークレットのメタデータと値を読み取ります AWS Secrets Manager。	2025 年 4 月 15 日
AWSDataSyncServiceRolePolicy - 新しいポリシー	DataSync は、DataSync サービスにリンクされたロール で使用されるポリシーを追加しましたAWSServiceRoleForDataSync。この新しい管理ポリシーは、拡張モードを使用する DataSync タスクの Amazon CloudWatch logsを自動的に作成します。	2024 年 10 月 30 日
AWSDataSyncFullAccess - 変更	DataSync が AWSDataSyncFullAccess に新しいアクセス許可を追加しました。 iam:CreateServiceLinkedRole このアクセス許可により、DataSync はサービスにリンクされたロールを作成できます。	2024 年 10 月 30 日
AWSDataSyncFullAccess - 変更	DataSync が AWSDataSyncFullAccess に新しいアクセス許可を追加しました。 ec2:DescribeRegions このアクセス許可により、 AWS リージョン間の転送用に DataSync タスクを作成するときに、オプトインのリージョンを選択することができます。	2024 年 7 月 22 日
AWSDataSyncFullAccess - 変更	DataSync が AWSDataSyncFullAccess に新しいアクセス許可を追加しました。 s3:ListBucketVersions このアクセス許可により、DataSync マニフェストの特定のバージョンを選択することができます。	2024 年 2 月 16 日
AWSDataSyncFullAccess - 変更	DataSync は AWSDataSyncFullAccess に新しい権限を追加しました。 ec2:DescribeVpcEndpoints elasticfilesystem:DescribeAccessPoints fsx:DescribeStorageVirtualMachines outposts:ListOutposts s3:GetBucketLocation s3-outposts:ListAccessPoints s3-outposts:ListRegionalBuckets これらのアクセス許可は、Amazon EFS、Amazon FSx for NetApp ONTAP、Amazon S3、S3 on Outposts の DataSync エージェントとロケーションを作成する際に役立ちます。	2023 年 5 月 2 日
DataSyncが変更の追跡を開始しました	DataSync は AWS 、管理ポリシーの変更の追跡を開始しました。	2021 年 3 月 1 日