の IAM カスタマーマネージド型ポリシーAWS DataSync - AWS DataSync

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の IAM カスタマーマネージド型ポリシーAWS DataSync

AWS管理ポリシーに加えて、AWS DataSync API 操作用の独自のアイデンティティベースのポリシーを作成し、それらのアクセス権限を必要とするAWS Identity and Access Management (IAM) ID にアタッチすることもできます。これらはカスタマー管理ポリシーと呼ばれ、AWS アカウント独自に管理するスタンドアロンポリシーです。

重要

開始する前に、 DataSync リソースへのアクセスを管理するための基本概念とオプションについて学ぶことをお勧めします。詳細については、「のアクセス許可の管理の概要 DataSync」を参照してください。

カスタムポリシーの概要

次の例は、 DataSync特定の操作を使用する権限を付与するポリシーです。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }

このポリシーには、次の処理を実行するステートメントが 1 つあります (ActionResourceステートメント内のと要素に注意してください)。

  • Amazon リソースネーム (ARNdatasync:ListTasks) を使用して、特定のタスクリソースに対して 2 DataSync つのアクション (datasync:DescribeTaskおよび) を実行する権限を付与します。

  • IAM ユーザー、グループ、またはロールはすべてのタスクで 2 つのアクションを実行できるので、タスク ARN にワイルドカード文字 (*) を指定します。アクションの権限を特定のタスクに制限するには、そのステートメント内のワイルドカード文字の代わりにタスク ID を指定します。

カスタムポリシーの例

以下のユーザーポリシーの例では、 DataSync さまざまなオペレーションのアクセス許可を付与します。ポリシーはAWS SDK またはAWS Command Line Interface (AWS CLI) を使用している場合に機能します。これらのポリシーをコンソールで使用するには、管理ポリシーも使用する必要がありますAWSDataSyncFullAccess

例 1: Amazon S3 DataSync バケットへのアクセスを許可する信頼関係を作成する

次に示すのは、IAM DataSync ロールを引き受けることを許可する信頼ポリシーの例です。このロールでは DataSync 、Amazon S3 バケットにアクセスできます。サービス間の混乱を招く代理の問題を防ぐためaws:SourceArnaws:SourceAccountポリシーではおよびグローバル条件コンテキストキーを使用することをお勧めします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

例 2: Amazon S3 DataSync バケットへの読み取りおよび書き込みを許可する

次のポリシーの例では、S3 DataSync バケットにデータの読み取りおよび書き込みを行う最低限のアクセス権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

例 3: DataSync CloudWatch ロググループへのログのアップロードを許可する

DataSync Amazon CloudWatch ロググループにログをアップロードするためのアクセス許可が必要です。 CloudWatch ロググループを使用すると、タスクのモニタリングとデバッグができます。

このようなアクセス権限を付与する IAM ポリシーの例については、Amazon DataSync CloudWatch ロググループへのログのアップロードを許可する を参照してください。