Amazon Keyspaces のアイデンティティベースポリシーの例 - Amazon Keyspaces (Apache Cassandra 向け)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Keyspaces のアイデンティティベースポリシーの例

デフォルトでは、IAMユーザーとロールには Amazon Keyspaces リソースを作成または変更するアクセス許可はありません。また、コンソール、、 を使用してタスクを実行することはできません。 CQLSH AWS CLI、または AWS API。IAM 管理者は、必要な特定のリソースに対して特定のAPIオペレーションを実行するアクセス許可をユーザーとロールに付与するIAMポリシーを作成する必要があります。その後、管理者は、これらのアクセス許可を必要とするIAMユーザーまたはグループにこれらのポリシーをアタッチする必要があります。

これらのポリシードキュメント例を使用してIAMアイデンティティベースのJSONポリシーを作成する方法については、「 ユーザーガイド」のJSON「 タブでのポリシーの作成IAM」を参照してください。

ポリシーのベストプラクティス

ID ベースのポリシーは、ユーザーのアカウント内で誰かが Amazon Keyspaces リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 のコストが発生する可能性があります。 AWS アカウント。 アイデンティティベースのポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従ってください。

  • の使用を開始する AWS 管理ポリシーと最小特権のアクセス許可への移行 – ユーザーとワークロードへのアクセス許可の付与を開始するには、 を使用します。 AWS 多くの一般的なユースケースにアクセス許可を付与する マネージドポリシー。これらは で利用できます。 AWS アカウント。 を定義してアクセス許可をさらに減らすことをお勧めします。 AWS ユースケースに固有の カスタマー管理ポリシー。詳細については、「」を参照してくださいAWS マネージドポリシーまたは AWS ユーザーガイドの ジョブ機能の IAM マネージドポリシー。

  • 最小特権のアクセス許可を適用する – IAMポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、「 ユーザーガイド」の「 のポリシーとアクセス許可IAMIAM」を参照してください。

  • IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信する必要があることを指定できますSSL。特定の を通じてサービスアクションが使用されている場合、条件を使用してサービスアクションへのアクセスを許可することもできます。 AWS のサービスまたは AWS CloudFormation。 詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件IAM」を参照してください。

  • IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、「 ユーザーガイド」のIAM「Access Analyzer ポリシーの検証IAM」を参照してください。

  • 多要素認証を要求する (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合 AWS アカウントのセキュリティを強化するMFAには、 をオンにします。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 IAMユーザーガイド」のMFA「 で保護されたAPIアクセスの設定」を参照してください。

のベストプラクティスの詳細についてはIAM、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAMIAM」を参照してください。

Amazon Keyspaces コンソールの使用

Amazon Keyspaces コンソールにアクセスするための特定のアクセス許可は必要ありません。の Amazon Keyspaces リソースの詳細を一覧表示および表示するには、少なくとも読み取り専用のアクセス許可が必要です AWS アカウント。 最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

2 AWS マネージドポリシーは、Amazon Keyspaces コンソールアクセス用のエンティティで使用できます。

  • AmazonKeyspacesReadOnlyAccess_v2 – このポリシーは、Amazon Keyspaces への読み取り専用アクセスを許可します。

  • AmazonKeyspacesFullAccess – このポリシーは、すべての機能へのフルアクセスを持つ Amazon Keyspaces を使用するアクセス許可を付与します。

Amazon Keyspaces のマネージドポリシーの詳細については、「Amazon Keyspaces の AWS 管理ポリシー」を参照してください。

自分の権限の表示をユーザーに許可する

この例では、IAMユーザーがユーザー ID にアタッチされているインラインポリシーと管理ポリシーを表示できるようにするポリシーを作成する方法を示します。このポリシーには、コンソールで、または を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。 AWS CLI または AWS API.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Amazon Keyspaces テーブルへのアクセス

以下は、Amazon Keyspaces システムテーブルへの読み取り専用 (SELECT) アクセスを許可するポリシーの例です。すべてのサンプルについて、Amazon リソースネーム (ARN) のリージョンとアカウント ID を独自のものに置き換えます。

注記

ほとんどのドライバーで接続時にシステムのキースペース/テーブルが読み取られるため、標準的なドライバーと接続する場合に、ユーザーは少なくともシステムテーブルへの SELECT アクセス権は持っておく必要があります。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] }

次のポリシー例では、キースペース のユーザーテーブルmytableに読み取り専用アクセスを追加しますmykeyspace

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] }

以下のサンプルポリシーでは、ユーザーテーブルへの読み取り/書き込みアクセス権と、システムテーブルへの読み取りアクセス権を割り当てます。

注記

システムテーブルは常に読み取り専用です。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Select", "cassandra:Modify" ], "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] }

次のサンプルポリシーでは、ユーザーがキースペース mykeyspace でテーブルを作成できます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Create", "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] }

タグに基いた Amazon Keyspaces リソースアクセス

アイデンティティベースポリシーの条件を使用して、タグに基づいた Amazon Keyspaces リソースへのアクセスを制御することができます。これらのポリシーは、アカウント内のキースペースとテーブルの可視性を制御します。システムテーブルのタグベースのアクセス許可は、 を使用してリクエストが行われると動作が異なることに注意してください。 AWS SDK を、Cassandra ドライバーとデベロッパーツールを介した Cassandra クエリ言語 (CQL) API呼び出しと比較した。

  • を使用して Listおよび Getリソースリクエストを行うには AWS SDK タグベースのアクセスを使用する場合、発信者はシステムテーブルへの読み取りアクセス権を持っている必要があります。たとえば、GetTable オペレーションでシステムテーブルからデータを読み取るには Select アクション権限が必要です。呼び出し元に特定のテーブルに対するタグベースのアクセス権限しかない場合、システムテーブルへの追加アクセスが必要な操作は失敗します。

  • 確立された Cassandra ドライバーの動作との互換性のために、Cassandra ドライバーとデベロッパーツールを介した Cassandra クエリ言語 (CQL) API呼び出しを使用してシステムテーブルでオペレーションを実行する場合、タグベースの承認ポリシーは適用されません。

次の例では、テーブルの Owner にユーザーのユーザー名の値が含まれている場合に、そのテーブルを表示するための権限をユーザーに与えるポリシーを作成する方法を説明します。この例では、システムテーブルへの読み取りアクセス権限も与えられています。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"ReadOnlyAccessTaggedTables", "Effect":"Allow", "Action":"cassandra:Select", "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ], "Condition":{ "StringEquals":{ "aws:ResourceTag/Owner":"${aws:username}" } } } ] }

このポリシーは、アカウントのIAMユーザーにアタッチできます。richard-roe という名前のユーザーが Amazon Keyspaces テーブルを表示しようとすると、そのテーブルには Owner=richard-roe または owner=richard-roe というタグが付きます。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字は区別されないため、条件タグキー OwnerOwnerowner に一致します。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件IAM」を参照してください。

次のポリシーでは、テーブルの Owner にユーザーのユーザー名の値が含まれている場合に、タグ付きのテーブルを作成するための権限をユーザーに付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateTagTableUser", "Effect": "Allow", "Action": [ "cassandra:Create", "cassandra:TagResource" ], "Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*", "Condition":{ "StringEquals":{ "aws:RequestTag/Owner":"${aws:username}" } } } ] }