ポリシーとは - AWS RoboMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ポリシーとは

AWS でのアクセスは、ポリシーを作成し、それらを IAM アイデンティティまたは AWS リソースに添付することで制御できます。

注記

迅速に使用を開始するには、AWS RoboMaker の認証とアクセスコントロール の入門情報を確認し、次に「IAM の使用開始」を参照してください。

ポリシー は AWS のオブジェクトであり、エンティティやリソースに関連付けて、これらのアクセス許可を定義します。AWS は、ユーザーなどのプリンシパルがリクエストを行ったときに、それらのポリシーを評価します。ポリシーでの許可により、リクエストが許可されるか拒否されるかが決まります。大半のポリシーは JSON ドキュメントとして AWS に保存されます。

IAM ポリシーは、オペレーションの実行方法を問わず、アクションの許可を定義します。例えば、GetUser アクションを許可するポリシーを適用されたユーザーは、AWS Management Console、AWS CLI、または AWS API からユーザー情報を取得できます。IAM ユーザーを作成したら、コンソールまたはプログラムによるアクセスを許可するようにユーザーを設定できます。IAM は、ユーザー名とパスワードを使用してコンソールにサインインできます。または、アクセスキーを使用して CLI または API を操作できます。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

AWS RoboMaker でサポートされていないポリシー

AWS RoboMaker では、リソースベースのポリシーやアクセスコントロールリスト (ACL) はサポートされていません。詳細については、「IAM ユーザーガイド」の「ポリシータイプ」を参照してください。

アイデンティティベースのポリシー

ポリシーを IAM アイデンティティにアタッチできます。例えば、次の操作を実行できます。

  • アカウントのユーザーまたはグループにアクセス権限ポリシーをアタッチする:ロボットアプリケーションなどの AWS RoboMaker リソースを作成するためのアクセス許可をユーザーに付与するために、ユーザーまたはユーザーが所属するグループにアクセス許可のポリシーをアタッチできます。

  • 許可ポリシーをロールにアタッチする (クロスアカウントの許可を付与) - ID ベースのアクセス許可ポリシーを IAM ロールにアタッチして、クロスアカウントの許可を付与することができます。例えば、アカウント A の管理者は、次のように別の AWS アカウント (例えば、アカウント B) または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。

    1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに許可を付与するロールに許可ポリシーをアタッチします。

    2. アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。

    3. アカウント B の管理者は、アカウント B のユーザーにロールを引き受ける権限を委任できるようになります。これにより、アカウント B のユーザーはアカウント A のリソースの作成とアクセスができます。ロールを引き受ける権限を AWS のサービスに付与すると、信頼ポリシー内のプリンシパルも AWS のサービスのプリンシパルとなることができます。

    IAM を使用した許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。

ユーザー、グループ、ロール、許可の詳細については、「IAM ユーザーガイド」の「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

ポリシーのアクセスレベルの分類

IAM コンソールでは、アクションが以下のアクセスレベルの分類に従ってグループ分けされます。

  • リスト – サービス内のリソースを一覧表示し、オブジェクトの存否を判断するアクセス許可を提供します。このレベルのアクセス権を持つアクションはオブジェクトをリストできますが、リソースのコンテンツは表示されません。リストアクセスレベルの大半のアクションは、特定のリソースに対しては実行できません。これらのアクションを使用してポリシーステートメントを作成する場合は、[All resources] (すべてのリソース) ("*") を指定する必要があります。

  • 読み取り– サービス内のリソースの内容と属性を読み取るアクセス許可を提供します。ただし、編集することはできません。例えば、Amazon S3 アクション GetObject および GetBucketLocation には、読み取りアクセスレベルがあります。

  • 書き込み – サービス内のリソースを作成、削除、または変更するアクセス許可を提供します。例えば、Amazon S3 アクション CreateBucketDeleteBucket および PutObject には、書き込みアクセスレベルがあります。

  • アクセス許可管理 – サービス内のリソースに対するアクセス許可を付与または変更するアクセス許可を提供します。例えば、大半の IAM と AWS Organizations のポリシーアクションには、アクセス許可管理アクセスレベルがあります。

    ヒント

    AWS アカウントのセキュリティを強化するには、Permissions management アクセスレベル分類を含むポリシーを制限したり定期的にモニタリングしたりします。

  • タグ付け – サービス内のリソースにアタッチされているタグを作成、削除、または変更するアクセス許可を提供します。例えば、 Amazon EC2 の CreateTags アクションおよび DeleteTags アクションには、タグ付けアクセスレベルがあります。