ポリシーとは

でアクセスを制御するには、ポリシー AWS を作成しIAM、アイデンティティまたは AWS リソースにアタッチします。

注記

迅速に使用を開始するには、AWS RoboMakerの認証とアクセスコントロール の入門情報を確認し、次に「の開始方法 IAM」を参照してください。

ポリシーは AWS 、エンティティまたはリソースに関連付けられているときにアクセス許可を定義するオブジェクトです。 は、ユーザーなどのプリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ポリシーでの権限により、リクエストが許可されるか拒否されるかが決まります。ほとんどのポリシーはJSONドキュメント AWS として に保存されます。

IAM ポリシーは、 オペレーションの実行に使用する方法に関係なく、アクションのアクセス許可を定義します。例えば、ポリシーで GetUserアクションが許可されている場合、そのポリシーを持つユーザーは、 AWS Management Console、、 AWS CLIまたは からユーザー情報を取得できます AWS API。IAM ユーザーを作成するときは、コンソールまたはプログラムによるアクセスを許可するようにユーザーを設定できます。IAM ユーザーは、ユーザー名とパスワードを使用してコンソールにサインインできます。または、アクセスキーを使用して CLIまたは を操作することもできますAPI。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。

• ID プロバイダーIAMを介して で管理されるユーザー：

  ID フェデレーションのロールを作成します。IAM ユーザーガイドの「サードパーティー ID プロバイダー (フェデレーション) のロールを作成する」の指示に従います。

• IAM ユーザー：

  • ユーザーが担当できるロールを作成します。IAM ユーザーガイドのIAM「ユーザーのロールを作成する」の指示に従います。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。IAM ユーザーガイドの「ユーザー (コンソール) へのアクセス許可の追加」の指示に従います。

でサポートされていないポリシー AWS RoboMaker

リソースベースのポリシーとアクセスコントロールリスト (ACLs) は、 ではサポートされていません AWS RoboMaker。詳細については、「 ユーザーガイド」の「ポリシータイプ」を参照してください。 IAM

アイデンティティベースポリシー

IAM ID にポリシーをアタッチできます。例えば、次のオペレーションを実行できます。

• アカウントのユーザーまたはグループにアクセス権限ポリシーをアタッチする: ロボットアプリケーションなどの AWS RoboMaker リソースを作成するためのアクセス許可をユーザーに付与するために、ユーザーまたはユーザーが所属するグループにアクセス許可のポリシーをアタッチできます。

• アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する） — ID ベースのアクセス許可ポリシーをIAMロールにアタッチして、クロスアカウントアクセス許可を付与できます。例えば、アカウント A の管理者は、次のように、別の AWS アカウント (アカウント B など) または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。

  1. アカウント管理者はIAMロールを作成し、アカウント A のリソースに対するアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。

  2. アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。

  3. アカウント B 管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーがアカウント A のリソースを作成またはアクセスできるようになります。ロールを引き受けるサービスアクセス許可を付与する場合は、 AWS 信頼ポリシーのプリンシパルも AWS サービスプリンシパルになることができます。

  を使用してアクセス許可IAMを委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理」を参照してください。 IAM

ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイドの「アイデンティティ (ユーザー、グループ、ロール）」を参照してください。

ポリシーのアクセスレベルの分類

IAM コンソールでは、次のアクセスレベルの分類を使用してアクションがグループ化されます。

• リスト – サービス内のリソースを一覧表示し、オブジェクトの存否を判断するアクセス許可を提供します。このレベルのアクセス権を持つアクションはオブジェクトをリストできますが、リソースのコンテンツは表示されません。リストアクセスレベルの大半のアクションは、特定のリソースに対しては実行できません。これらのアクションを使用してポリシーステートメントを作成する場合は、[All resources] (すべてのリソース) ("*") を指定する必要があります。

• 読み取り– サービス内のリソースの内容と属性を読み取るアクセス許可を提供します。ただし、編集することはできません。例えば、Amazon S3 アクション GetObject および GetBucketLocation には、読み取りアクセスレベルがあります。

• 書き込み – サービス内のリソースを作成、削除、または変更するアクセス許可を提供します。例えば、Amazon S3 アクション CreateBucket、DeleteBucket および PutObject には、書き込みアクセスレベルがあります。

• アクセス許可管理 – サービス内のリソースに対するアクセス許可を付与または変更するアクセス許可を提供します。例えば、ほとんどの IAM および AWS Organizations ポリシーアクションには、アクセス許可管理アクセスレベルがあります。

  ヒント

  AWS アカウントのセキュリティを向上させるには、アクセス許可管理アクセスレベルの分類を含むポリシーを制限または定期的にモニタリングします。

• タグ付け – サービス内のリソースにアタッチされているタグを作成、削除、または変更するアクセス許可を提供します。例えば、Amazon EC2CreateTagsおよび DeleteTagsアクションには、タグ付けアクセスレベルがあります。