アクセスコントロールポリシー - AWS SDK for Java 1.x
Amazon S3 例Amazon SQS 例Amazon SNS の例

AWS SDK for Java (v1) の近日発表 end-of-support しました。AWS SDK for Java v2 に移行することをお勧めします。日付、その他の詳細、移行方法については、リンク先の発表内容を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロールポリシー

AWS アクセスコントロールポリシーを使用すると、 AWS リソースに対するきめ細かなアクセスコントロールを指定できます。アクセスコントロールポリシーは、次のフォームを持つステートメントのコレクションで構成されます。

アカウント A は、アクション Bリソース C に対して実行する権限があります (条件 D に該当する場合)。

コードの説明は以下のとおりです。

  • プリンシパル - AWS リソースの 1 つへのアクセスまたは変更をリクエスト AWS アカウント している 。

  • Bアクション - Amazon SQS キューへのメッセージの送信や Amazon S3 バケットへのオブジェクトの保存など、 AWS リソースへのアクセスまたは変更の方法。

  • Cリソース - プリンシパルがアクセスする AWS エンティティ。 Amazon SQS キューや に保存されているオブジェクトなど Amazon S3。

  • D一連の条件 - プリンシパルがリソースにアクセスすることを許可または拒否するタイミングを指定するオプションの制約。さまざまな表記の条件を使用できます。条件によっては、サービスごとに固有な条件もあります。たとえば、日付条件を使用して、特定の時刻の前または後でのみリソースへのアクセスを許可することができます。

Amazon S3 例

次の例は、バケット内のすべてのオブジェクトを読み取ることをすべてのユーザーに許可するが、そのバケットへのオブジェクトのアップロードへのアクセスを 2 つの特定の に制限するポリシーを示しています AWS アカウント(バケット所有者のアカウントに加えて)。

Statement allowPublicReadStatement = new Statement(Effect.Allow)
    .withPrincipals(Principal.AllUsers)
    .withActions(S3Actions.GetObject)
    .withResources(new S3ObjectResource(myBucketName, "*"));
Statement allowRestrictedWriteStatement = new Statement(Effect.Allow)
    .withPrincipals(new Principal("123456789"), new Principal("876543210"))
    .withActions(S3Actions.PutObject)
    .withResources(new S3ObjectResource(myBucketName, "*"));

Policy policy = new Policy()
    .withStatements(allowPublicReadStatement, allowRestrictedWriteStatement);

AmazonS3 s3 = AmazonS3ClientBuilder.defaultClient();
s3.setBucketPolicy(myBucketName, policy.toJson());

Amazon SQS 例

ポリシーの一般的な用途の 1 つは、Amazon SNS Amazon SQS トピックからメッセージを受信することを キューに許可することです。

Policy policy = new Policy().withStatements(
    new Statement(Effect.Allow)
        .withPrincipals(Principal.AllUsers)
        .withActions(SQSActions.SendMessage)
        .withConditions(ConditionFactory.newSourceArnCondition(myTopicArn)));

Map queueAttributes = new HashMap();
queueAttributes.put(QueueAttributeName.Policy.toString(), policy.toJson());

AmazonSQS sqs = AmazonSQSClientBuilder.defaultClient();
sqs.setQueueAttributes(new SetQueueAttributesRequest(myQueueUrl, queueAttributes));

Amazon SNS の例

一部のサービスには、ポリシーで使用できる追加条件があります。Amazon SNS には、トピックにサブスクライブするリクエストのプロトコル (E メール、HTTP、HTTPS、など Amazon SQS) とエンドポイント (E メールアドレス、URL、 Amazon SQS ARN など) に基づいて、SNS トピックへのサブスクリプションを許可または拒否するための条件が用意されています。

Condition endpointCondition =
    SNSConditionFactory.newEndpointCondition("*@mycompany.com");

Policy policy = new Policy().withStatements(
    new Statement(Effect.Allow)
        .withPrincipals(Principal.AllUsers)
        .withActions(SNSActions.Subscribe)
        .withConditions(endpointCondition));

AmazonSNS sns = AmazonSNSClientBuilder.defaultClient();
sns.setTopicAttributes(
    new SetTopicAttributesRequest(myTopicArn, "Policy", policy.toJson()));