翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Elastic VMware Service と の連携方法 IAM
注記
Amazon EVS はパブリックプレビューリリースであり、変更される可能性があります。
IAM を使用して Amazon Elastic VMware Service へのアクセスを管理する前に、Amazon Elastic VMware Service で使用できる IAM 機能を確認してください。
| IAM 機能 | Amazon EVS のサポート |
|---|---|
|
はい |
|
|
なし |
|
|
はい |
|
|
部分的 |
|
|
はい |
|
|
なし |
|
|
はい |
|
|
あり |
|
|
はい |
|
|
なし |
|
|
はい |
Amazon Elastic VMware Service とその他の AWS のサービス の連携の概要については IAM、IAM ユーザーガイドの「 AWS のサービス と連携する IAM」を参照してください。
トピック
Amazon EVS のアイデンティティベースのポリシー
ID ベースのポリシーのサポート: あり
アイデンティティベースポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「IAM ユーザーガイド」の「カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。プリンシパルはアタッチされているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用するすべての要素については、IAM ユーザーガイドのIAM 「JSON ポリシー要素リファレンス」を参照してください。
Amazon EVS のアイデンティティベースのポリシーの例
Amazon Elastic VMware Service のアイデンティティベースのポリシーの例を確認するには、「Amazon Elastic VMware Service のアイデンティティベースのポリシーの例」を参照してください。
Amazon EVS 内のリソースベースのポリシー
リソースベースのポリシーのサポート: なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーでは、プリンシパルを指定する必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、アカウント全体、または別のアカウントの IAM エンティティをリソースベースのポリシーのプリンシパルとして指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる場合 AWS アカウント、信頼されたアカウントの IAM 管理者は、プリンシパルエンティティ (ユーザーまたはロール) にリソースへのアクセス許可も付与する必要があります。IAM 管理者は、アイデンティティベースのポリシーをエンティティにアタッチすることで権限を付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、アイデンティティベースのポリシーをさらに付与する必要はありません。詳細については、IAM ユーザーガイドの「IAM でのクロスアカウントリソースアクセス」を参照してください。
Amazon EVS のポリシーアクション
アクションをサポート はい
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
IAM アイデンティティベースのポリシーの Action要素は、ポリシーによって許可または拒否される特定のアクションを記述します。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon Elastic VMware Service のポリシーアクションは、アクションの前にプレフィックス を使用しますevs:。例えば、Amazon EVS CreateEnvironment API オペレーションを使用して環境を作成するアクセス許可を付与するには、ポリシーに evs:CreateEnvironmentアクションを含めます。ポリシーステートメントにはAction または NotAction 要素を含める必要があります。Amazon Elastic VMware Service は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
"Action": [
"evs:action1",
"evs:action2"
ワイルドカード (*) を使用して複数アクションを指定できます。例えば、List という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
"Action": "evs:List*"
Amazon Elastic VMware Service アクションのリストを確認するには、「サービス認可リファレンス」の「Amazon Elastic VMware Service で定義されるアクション」を参照してください。
Amazon EVS のポリシーリソース
ポリシーリソースのサポート: 一部
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ステートメントにはResource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これはリソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの許可をサポートしないアクションの場合はステートメントがすべてのリソースに適用されることを表示するワイルドカード (*) を使用します。
"Resource": "*"
Amazon EVS リソースタイプとその ARNs「Amazon Elastic VMware Service で定義されるリソース」を参照してください。 各リソースの ARN を指定できるアクションについては、「Amazon Elastic VMware Service で定義されるアクション」を参照してください。
一部の Amazon EVS API アクションは、複数のリソースをサポートしています。たとえば、 ListEnvironments API アクションを呼び出すときに複数の環境を参照できます。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
"Resource": [ "EXAMPLE-RESOURCE-1", "EXAMPLE-RESOURCE-2"
例えば、Amazon EVS 環境リソースには次の ARN があります。
arn:${Partition}:evs:${Region}:${Account}:environment/${EnvironmentId}
ステートメントmy-environment-2で環境my-environment-1と を指定するには、次の ARNs の例を使用します。
"Resource": [ "arn:aws:evs:us-east-1:123456789012:environment/my-environment-1", "arn:aws:evs:us-east-1:123456789012:environment/my-environment-2"
特定のアカウントに属するすべての環境を指定するには、ワイルドカード (*) を使用します。
"Resource": "arn:aws:evs:us-east-1:123456789012:environment/*"
Amazon EVS のポリシー条件キー
サービス固有のポリシー条件キーのサポート: あり
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition 要素 (またはConditionブロック) を使用すると、ステートメントが有効になる条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントのアクセス許可が付与される前に、すべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば、リソースにアクセスするためのアクセス IAM ユーザー 許可は、 IAM ユーザー リソースの名前がタグ付けされている場合にのみ付与できます。詳細については、IAM ユーザーガイドのIAM 「ポリシー要素: 変数とタグ」を参照してください。
Amazon Elastic VMware Service は、独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドのAWS 「グローバル条件コンテキストキー」を参照してください。
すべての Amazon EC2 アクションは、 aws:RequestedRegion および ec2:Region条件キーをサポートします。詳細については、「例: 特定のリージョンへのアクセスの制限」を参照してください。
Amazon Elastic VMware Service の条件キーのリストを確認するには、「サービス認可リファレンス」の「Amazon Elastic VMware Service の条件キー」を参照してください。条件キーを使用できるアクションとリソースについては、「Amazon Elastic VMware Service で定義されるアクション」を参照してください。
Amazon EVS のアクセスコントロールリスト (ACLs)
ACL のサポート: なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするための許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon EVS での属性ベースのアクセスコントロール (ABAC)
ABAC (ポリシー内のタグ) のサポート: あり
属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。では AWS、これらの属性はタグと呼ばれます。IAM エンティティ (ユーザーまたはロール) および多くの AWS リソースにタグをアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初のステップです。次に、プリンシパルのタグが、アクセスを試行するリソースのタグと一致したときにオペレーションを許可するよう、ABAC ポリシーを設計します。
ABAC は、急成長する環境や、ポリシー管理が煩雑になる状況で役に立ちます。
Amazon Elastic VMware Service リソースにタグをアタッチすることも、Amazon Elastic VMware Service へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するにはaws:ResourceTag/<key-name>、aws:RequestTag/<key-name>、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。条件キーでタグを使用できるアクションの詳細については、「サービス認可リファレンス」の「Amazon EVS で定義されるアクション」を参照してください。
Amazon EVS での一時的な認証情報の使用
一時的な認証情報のサポート: あり
一部の AWS のサービス は、一時的な認証情報を使用してサインインすると機能しません。一時的な認証情報 AWS のサービス を使用する場合などの詳細については、IAM ユーザーガイドAWS のサービス の「IAM と連携する 」を参照してください。
ユーザー名とパスワード以外の AWS Management Console 方法で にサインインする場合、一時的な認証情報を使用します。たとえば、会社のシングルサインオン (SSO) リンク AWS を使用して にアクセスすると、そのプロセスによって一時的な認証情報が自動的に作成されます。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、「IAM ユーザーガイド」の「ユーザーから IAM ロールに切り替える (コンソール)」を参照してください。
一時的な認証情報は、 AWS CLI または AWS API を使用して手動で作成できます。その後、これらの一時的な認証情報を使用してアクセスすることができます AWS。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「IAM の一時的セキュリティ認証情報」を参照してください。
Amazon EVS の転送アクセスセッション
転送アクセスセッション (FAS) のサポート: あり
IAM ユーザーまたはロールを使用して でアクションを実行すると AWS、プリンシパルと見なされます。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。FAS は、 を呼び出すプリンシパルのアクセス許可を AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする と組み合わせて使用します。FAS リクエストは、サービスが他の AWS のサービス またはリソースとのやり取りを完了する必要があるリクエストを受け取った場合にのみ行われます。この場合、両方のアクションを実行するためのアクセス許可が必要です。FAS リクエストを行う際のポリシーの詳細については、「転送アクセスセッション」を参照してください。
Amazon EVS のサービスロール
サービスロールのサポート: なし
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS のサービスに許可を委任するロールを作成する」を参照してください。
Amazon EVS のサービスにリンクされたロール
サービスリンクロールのサポート: あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
Amazon Elastic VMware Service サービスにリンクされたロールの作成または管理の詳細については、「」を参照してくださいAmazon EVS のサービスにリンクされたロールの使用。
