アクセス許可ポリシーをアイデンティティにアタッチする

アクセス許可ポリシーは IAM アイデンティティ: ユーザー、ユーザーグループ、およびロールにアタッチすることができます。アイデンティティベースのポリシーで、アイデンティティがアクセスできるシークレットと、アイデンティティがそのシークレットで実行できるアクションを指定します。詳細については、「Adding and removing IAM identity permissions」(IAM アクセス許可の追加と削除) を参照してください。

別のサービスのアプリケーションまたはユーザーを表　すロールに権限を付与できます。例えば、Amazon EC2 インスタンスで実行されているアプリケーションは、データベースにアクセスする必要がある場合があります。EC2 インスタンスのプロファイルに IAM ロールを作成し、権限ポリシーを使用して、データベースの資格情報を含むシークレットへのアクセスをロールに付与することができます。詳細については、「Using an IAM role to grant permissions to applications running on Amazon EC2 instances」(IAMロールを使用してAmazon EC2インスタンス上で動作するアプリケーションに権限を付与する) を参照してください。その他、Amazon Redshift、AWS Lambda、Amazon ECS などのサービスにもロールをアタッチすることができます。

また、IAM 以外のアイデンティティシステムによって認証されたユーザーにアクセス許可を付与することもできます。例えば、Amazon Cognito 使用してサインインするモバイルアプリケーションユーザーに IAM ロールを関連付けることができます。ロールは、ロールのアクセス許可ポリシーにあるアクセス許可を持つ、一時的な認証情報をアプリに付与します。次に、アクセス許可ポリシーを使用して、シークレットへのアクセス許可をロールに付与できます。詳細については、「Identity providers and federation」(ID プロバイダとフェデレーション) を参照してください。

アイデンティティベースのポリシーを使用して以下を行うことができます。

• 複数のシークレットへのアクセスをアイデンティティに許可します。

• 新しいシークレットを作成できるユーザーと、まだ作成されていないシークレットにアクセスできるユーザーを制御します。

• IAM グループにシークレットへのアクセス許可を付与します。

詳細については、「AWS Secrets Manager のアクセス許可ポリシーの例」を参照してください。