ロールのアクセス権限の適用

ルール定義の一部として、ルールのアクションで指定されたリソースにアクセスする権限を付与する IAM ロールがあります。ルールエンジンは、ルールのアクションが呼び出されたときに、そのロールを引き受けます。ロールは、ルールと同じ AWS アカウント で定義する必要があります。

ルールを作成または置き換えるときに、実質的にロールをルールエンジンに渡します。このオペレーションを実行するには iam:PassRole アクセス許可が必要です。このアクセス許可を検証するには、iam:PassRole アクセス許可を付与し、それを IAM ユーザーにアタッチするポリシーを作成します。次のポリシーは、ロールに iam:PassRole 権限を付与する方法を示しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::123456789012:role/myRole"
      ]
    }
  ]
}

このポリシー例では、iam:PassRole ロールに myRole 許可が付与されます。ロールは、ロールの ARN を使用して指定されます。このポリシーを IAM ユーザーまたはユーザーが所属するロールにアタッチします。詳細については、「管理ポリシーの使用」を参照してください。

注記

Lambda 関数はリソースベースのポリシーを使用し、このポリシーは Lambda 関数自体に直接アタッチされます。Lambda 関数を呼び出すルールを作成する場合は、ロールを適用しないため、ルールを作成するユーザーに iam:PassRole アクセス許可は必要ありません。Lambda 関数の認証については、リソースポリシーを使用したアクセス許可の付与を参照してください。