サポート終了通知: 2025 AWS 年 9 月 10 日、 は AWS RoboMaker のサポートを終了します。2025 年 9 月 10 日以降、 AWS RoboMaker コンソールまたは AWS RoboMaker リソースにアクセスできなくなります。コンテナ化されたシミュレーションの実行に役立つ AWS Batch への移行の詳細については、このブログ記事
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ポリシーとは
でアクセスを制御するには AWS 、ポリシーを作成し、IAM ID または AWS リソースにアタッチします。
注記
迅速に使用を開始するには、AWS RoboMakerの認証とアクセスコントロール の入門情報を確認し、次に「IAM の使用開始」を参照してください。
ポリシーは のオブジェクト AWS であり、エンティティまたはリソースに関連付けられると、そのアクセス許可を定義します。 は、ユーザーなどのプリンシパルがリクエストを行うときに、これらのポリシー AWS を評価します。ポリシーでの権限により、リクエストが許可されるか拒否されるかが決まります。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。
IAM ポリシーは、オペレーションの実行方法を問わず、アクションの許可を定義します。たとえば、ポリシーで GetUser アクションが許可されている場合、そのポリシーを持つユーザーは AWS Management Console、、 AWS CLI、または AWS API からユーザー情報を取得できます。IAM ユーザーを作成したら、コンソールまたはプログラムによるアクセスを許可するようにユーザーを設定できます。IAM は、ユーザー名とパスワードを使用してコンソールにサインインできます。または、アクセスキーを使用して CLI または API を操作できます。
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する」を参照してください。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。手順については「IAM ユーザーガイド」の「IAM ユーザーのロールの作成」を参照してください。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。
-
でサポートされていないポリシー AWS RoboMaker
リソースベースのポリシーとアクセスコントロールリスト (ACLsは ではサポートされていません AWS RoboMaker。詳細については、「IAM ユーザーガイド」の「ポリシータイプ」を参照してください。
アイデンティティベースのポリシー
ポリシーを IAM アイデンティティにアタッチできます。例えば、次のオペレーションを実行できます。
-
アカウントのユーザーまたはグループにアクセス権限ポリシーをアタッチする: ロボットアプリケーションなどの AWS RoboMaker リソースを作成するためのアクセス許可をユーザーに付与するために、ユーザーまたはユーザーが所属するグループにアクセス許可のポリシーをアタッチできます。
-
アクセス権限ポリシーをロールにアタッチする (クロスアカウントの許可を付与) - ID ベースのアクセス権限ポリシーを IAM ロールにアタッチして、クロスアカウントの権限を付与することができます。例えば、アカウント A の管理者は、次のように別の AWS アカウント (アカウント B など) または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。
-
アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに許可を付与するロールに許可ポリシーをアタッチします。
-
アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。
-
アカウント B の管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーがアカウント A のリソースを作成またはアクセスできるようになります。ロールを引き受けるアクセス許可を サービスに付与する場合は、信頼ポリシーのプリンシパルを AWS サービスプリンシパルに AWS することもできます。
IAM を使用した許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。
-
ユーザー、グループ、ロール、許可の詳細については、「IAM ユーザーガイド」の「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。
ポリシーのアクセスレベルの分類
IAM コンソールでは、アクションが以下のアクセスレベルの分類に従ってグループ分けされます。
-
リスト – サービス内のリソースを一覧表示し、オブジェクトの存否を判断するアクセス許可を提供します。このレベルのアクセス権を持つアクションはオブジェクトをリストできますが、リソースのコンテンツは表示されません。リストアクセスレベルの大半のアクションは、特定のリソースに対しては実行できません。これらのアクションを使用してポリシーステートメントを作成する場合は、[All resources] (すべてのリソース) (
"*") を指定する必要があります。 -
読み取り– サービス内のリソースの内容と属性を読み取るアクセス許可を提供します。ただし、編集することはできません。例えば、Amazon S3 アクション
GetObjectおよびGetBucketLocationには、読み取りアクセスレベルがあります。 -
書き込み – サービス内のリソースを作成、削除、または変更するアクセス許可を提供します。例えば、Amazon S3 アクション
CreateBucket、DeleteBucketおよびPutObjectには、書き込みアクセスレベルがあります。 -
アクセス許可管理 – サービス内のリソースに対するアクセス許可を付与または変更するアクセス許可を提供します。例えば、大半の IAM と AWS Organizations のポリシーアクションには、アクセス許可管理アクセスレベルがあります。
ヒント
AWS アカウントのセキュリティを向上させるには、アクセス許可管理アクセスレベル分類を含むポリシーを制限または定期的にモニタリングします。
-
タグ付け – サービス内のリソースにアタッチされているタグを作成、削除、または変更するアクセス許可を提供します。例えば、 Amazon EC2 の
CreateTagsアクションおよびDeleteTagsアクションには、タグ付けアクセスレベルがあります。
