Amazon Nimble Studio のアイデンティティベースのポリシー例

デフォルトでは、ユーザーおよびロールには、Nimble Studio リソースを作成または変更するアクセス許可はありません。また、 AWS Management Console、 AWS CLI、または を使用してタスクを実行することはできません AWS API。管理者は、必要なリソースに対してアクションを実行するアクセス許可をユーザーとロールに付与するIAMポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要なユーザーまたはグループにそのポリシーをアタッチします。

これらのポリシードキュメント例を使用して IAM ID ベースのJSONポリシーを作成する方法については、IAM「 ユーザーガイド」のJSON「 タブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

アイデンティティベースのポリシーは非常に強力です。アカウント内でユーザーが Nimble Studio リソースを作成、アクセス、削除できるかどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

• AWS マネージドポリシーの使用を開始する – Nimble Studio の使用をすばやく開始するには、 AWS マネージドポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントで既に有効になっており、 AWSによって管理および更新されています。詳細については、IAM「 ユーザーガイド」の AWS 「 マネージドポリシーでアクセス許可の使用を開始する」を参照してください。

• 最小特権を付与する - カスタムポリシーを作成するときは、タスクの実行に必要な許可のみを付与します。最小限の許可からスタートし、必要に応じて追加の許可を付与します。この方法は、寛容過ぎる許可から始めて、後から厳しくしようとするよりも安全です。詳細については、「 ユーザーガイド」の「最小権限を付与する」を参照してください。 IAM

• 機密オペレーションMFAを有効にする – セキュリティを強化するには、ユーザーに機密リソースまたはAPIオペレーションにアクセスするために多要素認証 (MFA) の使用を要求します。詳細については、 IAM ユーザーガイドの「 での多要素認証 (MFA) AWSの使用」を参照してください。

• 追加のセキュリティとしてポリシー条件を使用する – 実行可能な範囲内で、アイデンティティベースのポリシーでリソースへのアクセスを許可する条件を定義します。例えば、あるリクエストの送信が許可される IP アドレスの範囲を指定するための条件を記述できます。また、指定した日付または時間範囲内のリクエストのみを許可する条件を記述したり、 SSL または の使用を要求したりできますMFA。詳細については、IAM「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。