でのアイデンティティベースのポリシー (IAM ポリシー) の使用 AWS Directory Service

このトピックでは、アカウント管理者がIAMアイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。

重要

まず、 AWS Directory Service リソースへのアクセスを管理するために利用できる基本概念とオプションについて説明する入門トピックを確認することをお勧めします。詳細については、「AWS Directory Service リソースへのアクセス許可の管理の概要」を参照してください。

このセクションでは、次のトピックを対象としています。

• AWS Directory Service コンソールを使用するために必要なアクセス許可

• AWS の マネージド (事前定義) ポリシー AWS Directory Service

• カスタマーマネージドポリシーの例

• IAM ポリシーでのタグの使用

以下に示しているのは、アクセス許可ポリシーの例です。

{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

ポリシーの 3 つのステートメントは、次のようにアクセス権限を付与します:

• 最初のステートメントは、 AWS Directory Service ディレクトリを作成するアクセス許可を付与します。 AWS Directory Service は、リソースレベルのアクセス権限をサポートしていないため、ポリシーは Resource 値としてワイルドカード文字 (*) を指定します。

• 次のステートメントでは、IAM アクションへのアクセスは付与され、 AWS Directory Service がユーザーに代わって IAM ロールの読み取りと作成できるようになります。Resource 値の末尾のワイルドカード文字 (*) は、このステートメントで任意の IAM ロールに対して IAM アクションを実行するアクセス許可が付与されることを意味します。このアクセス許可を特定のロールに制限するには、リソース ARN 内のワイルドカード文字 (*) を特定のロール名に置き換えます。詳細については、「IAM のアクション」を参照してください。

• 3 番目のステートメントは、 がディレクトリを作成、設定、および破棄するために必要な Amazon EC2 内の特定のリソースセット AWS Directory Service にアクセス許可を付与します。Resource 値の末尾のワイルドカード文字 (*) は、このステートメントで任意の EC2 リソースおよびサブリソースに対して EC2 アクションを実行するアクセス許可を付与することを意味します。このアクセス許可を特定のロールに制限するには、リソース ARN 内のワイルドカード文字 (*) を特定のリソースまたはサブリソースに置き換えます。詳細については、「Amazon EC2 Actions」を参照してください。

アイデンティティに基づくポリシーでは、アクセス権限の付与先のプリンシパルを指定しないため、Principal 要素は指定されません。ユーザーにそのポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。IAM ロールにアクセス許可ポリシーを付加すると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を得ることになります

すべての AWS Directory Service API アクションとそれらが適用されるリソースを示す表については、「」を参照してくださいAWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス。

AWS Directory Service コンソールを使用するために必要なアクセス許可

コンソールを操作するユーザーには AWS Directory Service 、前述のポリシーに記載されているアクセス許可、または「」で説明されている Directory Service フルアクセスロールまたは Directory Service 読み取り専用ロールによって付与されたアクセス許可が必要ですAWS の マネージド (事前定義) ポリシー AWS Directory Service。

これらの最小限必要なアクセス許可よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。

AWS の マネージド (事前定義) ポリシー AWS Directory Service

AWS は、 によって作成および管理される事前定義された、または管理された IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的なユースケースに必要なアクセス許可を付与するため、必要なアクセス許可を決定するのに役立ちます。詳細については、「AWS の マネージドポリシー AWS Directory Service」を参照してください。

カスタマーマネージドポリシーの例

このセクションでは、さまざまな AWS Directory Service アクションのアクセス許可を付与するユーザーポリシーの例を示します。

注記

例はすべて、米国西部 (オレゴン) リージョン (us-west-2) を使用し、架空のアカウント ID を使用しています。

例 1: ユーザーに任意の AWS Directory Service リソースに対して Describe アクションを実行することを許可する

次のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリやスナップショットなどの AWS Directory Service リソースに関する情報を表示します。Resource 要素のワイルドカード文字 (*) は、アカウントが所有するすべての AWS Directory Service リソースに対してアクションが許可されていることを示します。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

例 2: ディレクトリの作成をユーザーに許可する

次のアクセス許可ポリシーによって、ディレクトリおよび関連するすべての他のリソース (スナップショットや信頼など) を作成するアクセス許可がユーザーに付与されます。そのためには、特定の Amazon EC2 サービスへのアクセス許可も必要です。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

IAM ポリシーでのタグの使用

ほとんどの AWS Directory Service API アクションに使用する IAM ポリシーで、タグベースのリソースレベルのアクセス許可を適用できます。これにより、ユーザーがどのリソースを作成、変更、または使用できるかを制御しやすくなります。IAM ポリシーの以下の条件コンテキストのキーと値とともに Condition 要素 (Condition ブロックとも呼ばれる) を使用して、リソースのタグに基づいてユーザーアクセス (アクセス許可) を制御できます。

• 特定のタグを持つリソースに対してユーザーアクションを許可または拒否するには、aws:ResourceTag/tag-key: tag-value を使用します。

• タグが許可されているリソースを作成または変更する API リクエストを作成する場合に、特定のタグを使用する (または使用しない) ことを要求するには、aws:ResourceTag/tag-key: tag-value を使用します。

• タグが許可されているリソースを作成または変更する API リクエストを作成する場合に、特定の一連のタグキーを使用する (または使用しない) ことを要求するには、aws:TagKeys: [tag-key, ...] を使用します。

注記

IAM ポリシーの条件コンテキストのキーと値は、タグ付け可能なリソースの識別子が必須パラメータである AWS Directory Service アクションにのみ適用されます。

「IAM ユーザーガイド」の「タグを使用したアクセスの制御」には、タグの使用に関する追加情報が記載されています。このガイドの「IAM JSON ポリシーリファレンス」 セクションには、IAM での JSON ポリシーの要素、変数、および評価ロジックの構文、説明、および例が詳細に記載されています。

次のタグポリシーの例では、タグとキーのペア "fooKey":"fooValue" が含まれている限り、ds の呼び出しはすべて許可されます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

次のリソースポリシーの例では、リソースにディレクトリ ID 「d-1234567890」が含まれている限り、ds の呼び出しはすべて許可されます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

ARN の詳細については、「Amazon リソースネーム (ARNs AWS 「サービス名前空間」を参照してください。

次の AWS Directory Service API オペレーションのリストは、タグベースのリソースレベルのアクセス許可をサポートしています。

• AcceptSharedDirectory

• AddIpRoutes

• AddTagsToResource

• CancelSchemaExtension

• CreateAlias

• CreateComputer

• CreateConditionalForwarder

• CreateSnapshot

• CreateLogSubscription

• CreateTrust

• DeleteConditionalForwarder

• DeleteDirectory

• DeleteLogSubscription

• DeleteSnapshot

• DeleteTrust

• DeregisterEventTopic

• DescribeConditionalForwarders

• DescribeDomainControllers

• DescribeEventTopics

• DescribeSharedDirectories

• DescribeSnapshots

• DescribeTrusts

• DisableRadius

• DisableSso

• EnableRadius

• EnableSso

• GetSnapshotLimits

• ListIpRoutes

• ListSchemaExtensions

• ListTagsForResource

• RegisterEventTopic

• RejectSharedDirectory

• RemoveIpRoutes

• RemoveTagsFromResource

• ResetUserPassword

• RestoreFromSnapshot

• ShareDirectory

• StartSchemaExtension

• UnshareDirectory

• UpdateConditionalForwarder

• UpdateNumberOfDomainControllers

• UpdateRadius

• UpdateTrust

• VerifyTrust