DataSync でID ベースのポリシー (IAM ポリシー) を使用する - AWS DataSync

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DataSync でID ベースのポリシー (IAM ポリシー) を使用する

アカウント管理者は、IAM アイデンティティ (ユーザー、グループ、ロール) に、アイデンティティベースのポリシーをアタッチできます。ID ベースのポリシーをサービスロールにアタッチすることもできます。

このトピックでは、IAM アイデンティティにアクセス許可を付与するために使用できる ID ベースのポリシーの例を示します。

重要

初めに、へのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。 DataSync リソースの使用料金を見積もることができます。詳細については、「DataSync のアクセス権限の管理の概要」を参照してください。

このセクションでは、次のトピックを対象としています。

以下に示しているのは、特定のものを使用するためのアクセス権限を付与するポリシーの例です。 DataSync アクション。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }

このポリシーには次の 1 つのステートメントがあります (ActionそしてResourceステートメント内の要素) は、次のことを実行します。

  • ステートメントは、2 つの実行権限を付与します。 DataSync アクション (datasync:DescribeTaskそしてdatasync:ListTasks) を使用して、特定のタスクリソース上でAmazon リソースネーム (ARN)

  • このステートメントでは、タスク ARN ではワイルドカード文字 () を指定します。*) は、IAM ユーザー、グループ、またはロールがすべてのタスクで 2 つのアクションを実行することが許可されているためです。特定のアクションに対するアクセス権限を制限するには、ARN でワイルドカード文字の代わりにタスク ID を指定します。

AWSDataSync のマネージドポリシー

AWSスタンドアロンの IAM ポリシーを作成および管理します。これらの管理ポリシーは、一般的ユースケースに権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、IAM ユーザーガイドAWS マネージドポリシー を参照してください。

AWSによって作成されたマネージドポリシーは、一般的なユースケースに必要なアクセス権限を付与します。これらのポリシーを、DataSync に対して必要なアクセスに基づいて IAM ユーザー、グループ、およびロールにアタッチできます:

以下の AWS マネージドポリシーはアカウントのユーザーにアタッチできます。これらは DataSync に固有のマネージドポリシーです:

注記

IAM コンソールにサインインし、特定のポリシーを検索することで、これらの管理ポリシーを確認できます。

独自のカスタム IAM ポリシーを作成して、AWS DataSync API アクションにアクセス権限を付与することもできます。これらのカスタムポリシーは、それらのアクセス権限が必要な IAM ユーザー、グループ、またはロールにアタッチできます。AWSマネージドポリシーの詳細については、IAM ユーザーガイドの「AWS マネージドポリシー」を参照してください。

DataSync コンソールの使用に必要なアクセス許可

♪ DataSync コンソールでは、次のものが必要です。AWSDataSyncFullAccessアクセス許可。

お客様管理ポリシーの例

このセクションでは、さまざまな DataSync アクションのアクセス許可を付与するユーザーポリシーの例を示しています。これらのポリシーは、AWSSDK とAWS Command Line Interface(AWS CLI). コンソールを使用している場合は、「」で説明している、コンソールに固有の追加のアクセス権限を付与する必要があります。 DataSync コンソールの使用に必要なアクセス許可

注記

これらの例はすべて、架空のアカウント ID とリソース ID を使用しています。

例 1: 許可する信頼関係の作成 DataSync Amazon S3 バケットにアクセスするには

以下に示しているのは、許可する信頼ポリシーの例です。 DataSync IAM ロールを継承します。このロールにより、 DataSync を使用して Amazon S3 バケットにアクセスします。を防ぐためサービス間の混乱した代理問題では、aws:SourceArnそしてaws:SourceAccountポリシーのグローバル条件コンテキストキー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

例 2: 許可 DataSync Amazon S3 バケットの読み取りと書き込みを行うには

次のポリシーの許可の例を次に示します。 DataSync S3 バケットにデータの読み取りおよび書き込みを行う最低限のアクセス許可。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

例 3: 許可 DataSync ログをにアップロードするには CloudWatch ロググループ

DataSync には、Amazon にログをアップロードするためのアクセス権限が必要です。 CloudWatch ロググループ。次を使用できます。 CloudWatch ロググループを使用すると、タスクのモニタリングとデバッグができます。

このようなアクセス権限を付与する IAM ポリシーの例については、DataSync がAmazon CloudWatch ロググループにログをアップロードすることを許可する を参照してください。