AWS SDK for Java
開発者ガイド

アクセスコントロールポリシー

AWS アクセスコントロールポリシーを使用すると、AWS リソースに対するきめ細かなアクセス制御を指定できます。アクセスコントロールポリシーは、次のフォームを持つステートメントのコレクションで構成されます。

アカウント A は、アクション Bリソース C に対して実行する権限があります (条件 D に該当する場合)。

各パラメーターの意味は次のとおりです。

  • Aプリンシパル – いずれかの AWS リソースに対するアクセスや変更をリクエストしている AWS アカウント。

  • Bアクション – Amazon SQS キューへのメッセージの送信、または Amazon S3 バケットへのオブジェクトの保存など、AWS リソースがアクセスまたは変更されている方法。

  • Cリソース – プリンシパルがアクセスを必要としている AWS エンティティ。Amazon SQS キュー、または Amazon S3 に保存されているオブジェクトなどです。

  • D一連の条件 – プリンシパルがリソースにアクセスすることを許可または拒否するタイミングを指定するオプションの制約。さまざまな表記の条件を使用できます。条件によっては、サービスごとに固有な条件もあります。たとえば、日付条件を使用して、特定の時刻の前または後でのみリソースへのアクセスを許可することができます。

Amazon S3 例

次の例に示すポリシーでは、バケットに含まれているすべてのオブジェクトに対する読み取りアクセスを、どのユーザーにも許可します。ただし、そのバケットへオブジェクトをアップロードするためのアクセスは、(バケット所有者のアカウントに加えて)2 つの特定の AWS アカウントに制限されます。

Statement allowPublicReadStatement = new Statement(Effect.Allow) .withPrincipals(Principal.AllUsers) .withActions(S3Actions.GetObject) .withResources(new S3ObjectResource(myBucketName, "*")); Statement allowRestrictedWriteStatement = new Statement(Effect.Allow) .withPrincipals(new Principal("123456789"), new Principal("876543210")) .withActions(S3Actions.PutObject) .withResources(new S3ObjectResource(myBucketName, "*")); Policy policy = new Policy() .withStatements(allowPublicReadStatement, allowRestrictedWriteStatement); AmazonS3 s3 = AmazonS3ClientBuilder.defaultClient(); s3.setBucketPolicy(myBucketName, policy.toJson());

Amazon SQS 例

ポリシーの一般的な用途の 1 つは、Amazon SQS キューが Amazon SNS トピックからのメッセージを受信できるように許可することです。

Policy policy = new Policy().withStatements( new Statement(Effect.Allow) .withPrincipals(Principal.AllUsers) .withActions(SQSActions.SendMessage) .withConditions(ConditionFactory.newSourceArnCondition(myTopicArn))); Map queueAttributes = new HashMap(); queueAttributes.put(QueueAttributeName.Policy.toString(), policy.toJson()); AmazonSQS sqs = AmazonSQSClientBuilder.defaultClient(); sqs.setQueueAttributes(new SetQueueAttributesRequest(myQueueUrl, queueAttributes));

Amazon SNS 例

一部のサービスには、ポリシーで使用できる追加条件があります。Amazon SNS には、トピックをサブスクライブするリクエストのプロトコル (メール、HTTP、HTTPS、Amazon SQS など) とエンドポイント (メールアドレス、URL、Amazon SQS ARN など) に基づいて SNS トピックのサブスクリプションを許可または拒否する条件があります。

Condition endpointCondition = SNSConditionFactory.newEndpointCondition("*@mycompany.com"); Policy policy = new Policy().withStatements( new Statement(Effect.Allow) .withPrincipals(Principal.AllUsers) .withActions(SNSActions.Subscribe) .withConditions(endpointCondition)); AmazonSNS sns = AmazonSNSClientBuilder.defaultClient(); sns.setTopicAttributes( new SetTopicAttributesRequest(myTopicArn, "Policy", policy.toJson()));

このページの内容: