AWS Directory Service リソースへのアクセス権限の管理の概要 - AWS Directory Service
AWS Directory Service リソースとオペレーションリソース所有権についてリソースへのアクセスの管理ポリシー要素の指定: アクション、効果、リソース、プリンシパルポリシーでの条件を指定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Directory Service リソースへのアクセス権限の管理の概要

AWS AWS すべてのリソースはアカウントによって所有され、リソースを作成またはアクセスする権限はアクセス権限ポリシーによって管理されます。アカウント管理者は IAM アイデンティティ (ユーザー、グループ、ロール) にアクセス権限ポリシーをアタッチできます。一部のサービス (など AWS Lambda) では、リソースにアクセス権限ポリシーをアタッチすることもできます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「IAM ユーザーガイド」の「IAM ベストプラクティス」を参照してください。

AWS Directory Service リソースとオペレーション

では AWS Directory Service、プライマリリソースはディレクトリです。 AWS Directory Service ディレクトリスナップショットリソースもサポートします。ただし、既存のディレクトリのコンテキストでのみスナップショットのみを作成できます。そのため、スナップショットはサブリソースと呼ばれます。

これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ ARN 形式

ディレクトリ

arn:aws:ds:region:account-id:directory/external-directory-id

スナップショット

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service 適切なリソースを操作するための一連の操作を提供します。使用可能なオペレーションのリストについては、「Directory Service のアクション」を参照してください。

リソース所有権について

リソース所有者は、 AWS リソースを作成したアカウントです。つまり、リソース所有者は、リソースを作成するリクエストを認証するプリンシパルエンティティ (ルートアカウント、IAM ユーザー、または IAM ロール) のアカウントです。 AWS 次の例は、この仕組みを示しています。

  • AWS Directory Service アカウントのルートアカウント認証情報を使用してディレクトリなどのリソースを作成すると、 AWS そのアカウントがそのリソースの所有者になります。 AWS

  • AWS アカウントに IAM ユーザーを作成し、 AWS Directory Service そのユーザーにリソースを作成する権限を付与すると、 AWS Directory Service そのユーザーはリソースを作成することもできます。ただし、 AWS そのユーザーが属するアカウントがリソースを所有します。

  • リソースを作成する権限を持つ IAM AWS ロールをアカウント内に作成すると、 AWS Directory Service そのロールを引き受けることができる人なら誰でもリソースを作成できます AWS Directory Service 。 AWS そのロールが属するアカウントがリソースを所有します。 AWS Directory Service

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、のコンテキストでの IAM の使用について説明します。 AWS Directory Serviceこれは、IAM サービスに関する詳細情報を取得できません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「IAM とは?」を参照してください。IAM ポリシー構文と記述の説明については、「IAM ユーザーガイド」の「IAM JSON ポリシーリファレンス」を参照してください。

IAM ID にアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 AWS Directory Service ID ベースのポリシー (IAM ポリシー) のみをサポートします。

アイデンティティベースのポリシー (IAM ポリシー)

ポリシーを IAM アイデンティティにアタッチできます。例えば、次のオペレーションを実行できます。

  • アカウント内のユーザーまたはグループにアクセス権限ポリシーをアタッチする — アカウント管理者は、特定のユーザーに関連付けられたアクセス権限ポリシーを使用して、 AWS Directory Service そのユーザーに新しいディレクトリなどのリソースを作成するためのアクセス権限を付与できます。

  • アクセス権限ポリシーをロールにアタッチする (クロスアカウントの許可を付与) - ID ベースのアクセス権限ポリシーを IAM ロールにアタッチして、クロスアカウントの権限を付与することができます。

    IAM を使用したアクセス許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。

次のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、 AWS Directory Service ディレクトリやスナップショットなどのリソースに関する情報を表示します。Resourceエレメント内のワイルドカード文字 (*) は、 AWS Directory Service そのアカウントが所有するすべてのリソースに対してアクションが許可されていることを示していることに注意してください。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

で ID ベースのポリシーを使用する方法の詳細については、 AWS Directory Serviceを参照してください。アイデンティティベースのポリシー (IAM ポリシー) の使用には AWS Directory Serviceユーザー、グループ、ロール、アクセス権限の詳細については、「IAM ユーザーガイド」の「ID (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

Amazon S3 などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。たとえば、S3 バケットにポリシーをアタッチして、そのバケットへのアクセス権限を管理できます。 AWS Directory Service リソースベースのポリシーはサポートされていません。

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

AWS Directory Service サービスはリソースごとに一連の API オペレーションを定義します。詳細については、「AWS Directory Service リソースとオペレーション」を参照してください。使用可能な API オペレーションのリストについては、「Directory Service のアクション」を参照してください。

これらの API オペレーションにアクセス権限を付与するには、 AWS Directory Service ポリシーで指定できる一連のアクションを定義します。API オペレーションを実行する場合には、複数のアクションに対するアクセス許可が必要になることがあります。

以下は、基本的なポリシーの要素です。

  • リソース – ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。 AWS Directory Service リソースには、IAM ポリシーでは常にワイルドカード文字 (*) を使用します。詳細については、「AWS Directory Service リソースとオペレーション」を参照してください。

  • [Action] (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、ds:DescribeDirectories 権限は、 AWS Directory Service DescribeDirectories オペレーションの実行をユーザーに許可します。

  • [Effect] (効果) - ユーザーが特定のアクションをリクエストする時の効果を指定します。これは許可または拒否とすることができます。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス権限を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用)。 AWS Directory Service リソースベースのポリシーはサポートしていません。

IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「IAM JSON ポリシーリファレンス」を参照してください。

すべての AWS Directory Service API アクションとそれらが適用されるリソースを示す表については、を参照してください。AWS Directory Service API 権限:アクション、リソース、条件リファレンス

ポリシーでの条件を指定する

アクセス許可を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。 AWS Directory Serviceに固有の条件キーはありません。ただし、 AWS 必要に応じて使用できる条件キーもあります。 AWS キーの全リストについては、IAM ユーザーガイドの使用可能なグローバル条件キー」を参照してください。