翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクセス許可ポリシーをアイデンティティにアタッチする
アクセス許可ポリシーは IAM アイデンティティ: ユーザー、ユーザーグループ、およびロールにアタッチすることができます。アイデンティティベースのポリシーで、アイデンティティがアクセスできるシークレットと、アイデンティティがそのシークレットで実行できるアクションを指定します。詳細については、「Adding and removing IAM identity permissions」(IAM アクセス許可の追加と削除) を参照してください。
別のサービスのアプリケーションまたはユーザーを表 すロールに権限を付与できます。例えば、Amazon EC2 インスタンスで実行されているアプリケーションは、データベースにアクセスする必要がある場合があります。EC2 インスタンスのプロファイルに IAM ロールを作成し、権限ポリシーを使用して、データベースの資格情報を含むシークレットへのアクセスをロールに付与することができます。詳細については、「Using an IAM role to grant permissions to applications running on Amazon EC2 instances」(IAMロールを使用してAmazon EC2インスタンス上で動作するアプリケーションに権限を付与する) を参照してください。その他、Amazon Redshift、AWS Lambda、Amazon ECS などのサービスにもロールをアタッチすることができます。
また、IAM 以外のアイデンティティシステムによって認証されたユーザーにアクセス許可を付与することもできます。例えば、Amazon Cognito 使用してサインインするモバイルアプリケーションユーザーに IAM ロールを関連付けることができます。ロールは、ロールのアクセス許可ポリシーにあるアクセス許可を持つ、一時的な認証情報をアプリに付与します。次に、アクセス許可ポリシーを使用して、シークレットへのアクセス許可をロールに付与できます。詳細については、「Identity providers and federation」(ID プロバイダとフェデレーション) を参照してください。
アイデンティティベースのポリシーを使用して以下を行うことができます。
-
複数のシークレットへのアクセスをアイデンティティに許可します。
-
新しいシークレットを作成できるユーザーと、まだ作成されていないシークレットにアクセスできるユーザーを制御します。
-
IAM グループにシークレットへのアクセス許可を付与します。
詳細については、「AWS Secrets Manager のアクセス許可ポリシーの例」を参照してください。