Amazon Polly のアイデンティティベースポリシーの例 - Amazon Polly

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Polly のアイデンティティベースポリシーの例

デフォルトでは、IAM ユーザーおよびロールにはAmazon Polly リソースを作成または変更するアクセス許可はありません。AWS Management Console、AWS CLI、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの許可が必要な IAM ユーザーまたはグループにそのポリシーを添付します。

JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「JSON タブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

アイデンティティベースポリシーは非常に強力です。このポリシーは、アカウント内で Amazon Polly のリソースを作成、アクセス、または削除できるユーザーを決定します。これらのアクションを実行すると、AWS アカウント に追加料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください。

  • AWS 管理ポリシーを使用して開始する – Amazon Polly の使用をすばやく開始するには、AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントで既に有効になっており、AWS によって管理および更新されています。詳細については、IAM ユーザーガイドの「AWS マネージドポリシーを使用した許可の使用スタート」を参照してください。

  • 最小特権を付与する - カスタムポリシーを作成するときは、タスクの実行に必要な許可のみを付与します。最小限の許可からスタートし、必要に応じて追加の許可を付与します。この方法は、寛容過ぎる許可から始めて、後から厳しくしようとするよりも安全です。詳細については、IAM ユーザーガイドの「最小特権を認める」を参照してください。

  • 機密性の高いオペレーションに MFA を有効にする - 追加セキュリティとして、機密性の高いリソースまたは API オペレーションにアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、IAM ユーザーガイドの「AWS での多要素認証 (MFA) の使用」を参照してください。

  • 追加のセキュリティとしてポリシー条件を使用する - 実行可能な範囲内で、アイデンティティベースのポリシーがリソースへのアクセスを許可する条件を定義します。例えば、あるリクエストの送信が許可される IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。詳細については、次を参照してください。IAM JSON ポリシーの要素 ConditionIAM ユーザーガイド

Amazon Polly コンソールの使用

Amazon Polly コンソールを使用して作業するユーザーの場合、そのユーザーには、AWS アカウントの Amazon Polly リソースに関する情報を取得する最小限のアクセス許可が必要です。

これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。

AWS CLI または Amazon Polly API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。

Amazon Polly コンソールを使用するには、すべての Amazon Polly API にアクセス許可を付与します。必要な追加のアクセス権限はありません。コンソールの完全な機能を得るには、以下のポリシーを使用できます。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "Console-AllowAllPollyActions", "Effect": "Allow", "Action": [ "polly:*"], "Resource": "*" } ] }

ユーザーが自分のアクセス許可を表示できるようにする

この例では、ユーザーアイデンティティに添付されたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Amazon Polly の AWS 管理(事前定義)ポリシー

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーを提供することで、多くの一般的ユースケースに対応します。これらの AWS 管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、IAM ユーザーガイドの「AWS 管理ポリシー」を参照してください。

アカウントのユーザーに添付できる次の AWS 管理ポリシーは、Amazon Polly に固有のものです。

  • AmazonPollyReadOnlyAccess-リソースに読み取り専用でアクセスできます。レキシコンの一覧表示、レキシコンの取得、使用可能なボイスの表示および音声の取得、使用可能なボイスの表示および音声合成を許可します。

  • AmazonPollyFullAccess-リソースおよびサポートされているすべての操作にフルアクセスできます。

注記

IAM コンソールにサインインし、特定のポリシーを検索することで、これらの許可ポリシーを確認できます。

独自のカスタム IAM ポリシーを作成して、Amazon Polly アクションとリソースのための権限を許可することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。

お客様が管理するポリシーの例

このセクションでは、さまざまな Amazon Polly アクションのアクセス権限を付与するユーザーポリシー例を示しています。これらのポリシーは、AWS SDK または AWS CLI を使用しているときに機能します。コンソールを使用している場合、すべての Amazon Polly API にアクセス許可を付与する必要があります。

注記

すべての例で、us-east-2 リージョンを使用し、架空のアカウント ID を含めています。

例 1: すべての Amazon Polly アクションを許可する

サインアップ後 (「ステップ 1.1: AWS にサインアップする」を参照)、ユーザーの作成やアクセス許可の管理など、アカウントを管理するための管理者ユーザーを作成します。

すべての Amazon Polly アクションに対するアクセス許可のあるユーザーを作成する場合があります。このユーザーは、Amazon Polly を使用するためのサービス固有の管理者と考えてください。このユーザーに以下のアクセス権限をアタッチできます。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowAllPollyActions", "Effect": "Allow", "Action": [ "polly:*"], "Resource": "*" } ] }

例 2: 以下を除くすべての Amazon Polly アクションを許可する DeleteLexicon

以下のアクセス許可ポリシーは、DeleteLexicon を除くすべてのアクションを実行するアクセス許可をユーザーに付与します (削除アクセス許可がすべてのリージョンで明示的に拒否されます)。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowAllActions-DenyDelete", "Effect": "Allow", "Action": [ "polly:DescribeVoices", "polly:GetLexicon", "polly:PutLexicon", "polly:SynthesizeSpeech", "polly:ListLexicons"], "Resource": "*" } { "Sid": "DenyDeleteLexicon", "Effect": "Deny", "Action": [ "polly:DeleteLexicon"], "Resource": "*" } ] }

例 3: 許可 DeleteLexicon

以下のアクセス許可ポリシーは、プロジェクトまたはプロジェクトが所在するリージョンにかかわらず所有するレキシコンを削除するアクセス許可をユーザーに付与します。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDeleteLexicon", "Effect": "Allow", "Action": [ "polly:DeleteLexicon"], "Resource": "*" } ] }

例 4: 指定されたリージョンでレキシコンの削除を許可する

以下のアクセス許可ポリシーは、1 つのリージョン (この場合は us-east-2) 内で所有するすべてのプロジェクトのレキシコンを削除するアクセス許可をユーザーに付与します。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDeleteSpecifiedRegion", "Effect": "Allow", "Action": [ "polly:DeleteLexicon"], "Resource": "arn:aws:polly:us-east-2:123456789012:lexicon/*" } ] }

例 5: 許可 DeleteLexicon 指定されたレキシコン

以下のアクセス許可ポリシーは、特定のリージョン (この場合は us-east-2) 内で所有する特定のレキシコン (この場合は myLexicon) を削除するアクセス許可をユーザーに付与します。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDeleteForSpecifiedLexicon", "Effect": "Allow", "Action": [ "polly:DeleteLexicon"], "Resource": "arn:aws:polly:us-east-2:123456789012:lexicon/myLexicon" } ] }