翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Nimble Studio で IAM を使用する方法
IAM を使用して Nimble Studio へのアクセスを管理する前に、Nimble Studio で使用できる IAM の機能について学びます。
Amazon Nimble Studio で使用できる IAM の機能 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IAM 機能 | Nimble Studio Support | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
いいえ |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
はい |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
いいえ |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nimble Studio およびその他の がほとんどの IAM 機能と AWS サービス 連携する方法の概要を把握するには、「IAM ユーザーガイド」のAWS サービス 「IAM と連携する 」を参照してください。
Nimble Studio のアイデンティティベースのポリシー
|
アイデンティティベースポリシーをサポートする |
はい |
アイデンティティベースポリシーは、ユーザー、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件を制御します。アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「IAM ポリシーの作成」を参照してください。
IAM のアイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。プリンシパルはアタッチされているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用できるすべての要素について学ぶには、「IAM ユーザーガイド」の「IAM JSON ポリシーの要素のリファレンス」を参照してください。
Amazon Nimble Studio のアイデンティティベースのポリシー例
Nimble Studio でのアイデンティティベースのポリシーの例については、「Amazon Nimble Studio のアイデンティティベースのポリシー例」を参照してください。
Nimble Studio 内のリソースベースのポリシー
|
リソースベースのポリシーのサポート |
いいえ |
Nimble Studio では、リソースベースのポリシーとクロスアカウントでのアクセスはサポートされません。リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、プリンシパルを指定します。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS サービス。
Nimble Studio のポリシーアクション
|
ポリシーアクションのサポート |
はい |
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
JSON ポリシーのAction要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。一致する API オペレーションのないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数アクションが必要なオペレーションもあります。これらの追加アクションは、 依存アクション と呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。
Nimble Studio アクションのリストは、「サービス認証リファレンス」の「Amazon Nimble Studio のアクション、リソース、条件キー」を参照してください。
Nimble Studio のポリシーアクションは、アクションの前に以下のプレフィックス を使用します。
nimble
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
"Action": [
"nimble:action1",
"nimble:action2"
]
Nimble Studio でのアイデンティティベースのポリシーの例については、「Amazon Nimble Studio のアイデンティティベースのポリシー例」を参照してください。
Nimble Studio のポリシーリソース
|
ポリシーリソースに対するサポート |
はい |
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Resource JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの権限と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを表示するワイルドカード (*) を使用します。
"Resource": "*"
Nimble Studio でのアイデンティティベースのポリシーの例については、「Amazon Nimble Studio のアイデンティティベースのポリシー例」を参照してください。
Nimble Studio のポリシー条件キー
|
ポリシー条件キーに対するサポート |
はい |
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition 要素(または Condition block) を使用すると、ステートメントが有効になる条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition 要素を指定するか、1 つの Condition 要素に複数のキーを指定すると、 AWS は AND 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定すると、 AWS は OR 論理演算子を使用して条件を評価します。ステートメントのアクセス許可が付与される前に、すべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば、ユーザー名でタグ付けされている場合のみ、リソースにアクセスするユーザーアクセス許可を付与できます。詳細については、『IAM ユーザーガイド』の「IAM ポリシーの要素: 変数およびタグ」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、『IAM ユーザーガイド』の「AWS グローバル条件コンテキストキー」を参照してください。
Nimble Studio でのアイデンティティベースのポリシーの例については、「Amazon Nimble Studio のアイデンティティベースのポリシー例」を参照してください。
Nimble Studio のアクセスコントロールリスト (ACL)
|
ACL のサポート |
No |
Nimble Studio はアクセスコントロールリスト (ACL) をサポートしていません。ACL は、どのプリンシパル (アカウントメンバー、ユーザー、ロール) がリソースへのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Nimble Studio での属性ベースのアクセスコントロール (ABAC)
|
ABAC のサポート (ポリシー内のタグ) |
はい |
属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義するアクセス許可戦略です。では AWS、これらの属性はタグ と呼ばれます。タグは、IAM エンティティ (ユーザーまたはロール) および多くの AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初のステップです。次に、アクセスを試行する先のリソースのタグとプリンシパルのタグが一致した場合にオペレーションを許可するよう、ABAC ポリシーを設計します。
タグに基づいてアクセスを管理するには、aws:ResourceTag/key-name、aws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素 でタグ情報を提供します。
ABAC の詳細については、「IAM ユーザーガイド」の「ABAC とは?」を参照してください。ABAC をセットアップするステップを説明するチュートリアルについては、「IAM ユーザーガイド」の「属性ベースのアクセス制御 (ABAC) を使用する」を参照してください。
Nimble Studio での一時的な認証情報の使用
|
一時的な認証情報のサポート |
はい |
一部の は、一時的な認証情報を使用してサインインすると機能 AWS サービス しません。一時的な認証情報 AWS サービス を使用する などの詳細については、IAM ユーザーガイドのAWS サービス 「IAM と連携する 」を参照してください。
ユーザー名とパスワード以外の AWS Management Console 方法で にサインインする場合は、一時的な認証情報を使用します。例えば、会社の Single Sign-On (SSO) リンク AWS を使用して にアクセスすると、そのプロセスによって一時的な認証情報が自動的に作成されます。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、「IAM ユーザーガイド」の「ロールへの切り替え (コンソール)」を参照してください。
一時的な認証情報は、 AWS CLI または AWS API を使用して手動で作成できます。その後、これらの一時的な認証情報を使用して にアクセスします AWS。 AWS 長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「IAM の一時的セキュリティ認証情報」を参照してください。
Nimble Studio のクロスサービスプリンシパル許可
|
プリンシパル権限のサポート |
Yes |
Nimble Studio のサービスロール
|
サービスロールのサポート |
あり |
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。サービスロールは、ご使用のアカウント内のみでアクセス権の付与を行います。他のアカウント内にあるサービスに、アクセス権を付与することはできません。管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS サービスにアクセス許可を委任するロールの作成」を参照してください。
警告
サービスロールの許可を変更すると、Nimble Studio の機能が破損する可能性があります。Nimble Studio が指示した場合にのみ、サービスロールを編集してください。
Nimble Studio のサービスにリンクされたロール
|
サービスにリンクされたロールのサポート |
いいえ |
Nimble Studio は、サービスにリンクされたロールをサポートしていません。サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS サービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは IAM アカウント内に表示され、サービスによって所有されます。 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスリンクロールの作成または管理の詳細については、「IAM と提携するAWS サービス」を参照してください。表の中から、[Service-linked role (サービスリンクロール)] 列に Yes と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] リンクを選択します。
