アクセス許可の管理
AWS での Cloud Migration Factory ソリューションを使用すると、データへのきめ細かなロールベースのアクセス制御とソリューションで使用できる自動化機能を提供します。その基盤となるのが Amazon Cognito で、ユーザーディレクトリと認証エンジンが備わっています。
次の表は、AWS での Cloud Migration Factory ソリューション内のアクセス制御フレームワークを構成するさまざまな要素と、各要素の管理元を示しています。
| アクセス制御要素 | 管理インターフェイス | 説明 |
|---|---|---|
|
ユーザー |
Amazon Cognito および AWS での Cloud Migration Factory |
ユーザーは Amazon Cognito で作成、削除、更新され、必要に応じて多要素認証 (MFA) だけでなくユーザーのプロファイルも作成できます。AWS CMF ユーザーインターフェイスでは、グループにのみユーザーを追加および削除できます。 |
|
グループ |
AWS での Cloud Migration Factory |
AWS CMF ユーザーインターフェイス内からグループを作成または削除できます。 |
|
ロール |
AWS での Cloud Migration Factory |
ロールは 1 つまたは複数のグループにマップされ、AWS CMF 管理セクションで、ロールが割り当てられているグループの変更が実行されます。ロールに割り当てられたグループのメンバーであるユーザーには、そのロールにマップされているすべてのポリシーが割り当てられます。 1 つまたは複数のポリシーをロールに割り当てることができます。 |
|
ポリシー |
AWS での Cloud Migration Factory |
ポリシーには、ポリシーが適用されるすべてのユーザーに (グループメンバーシップを通じて) 割り当てられる詳細な権限が含まれます。1 つのポリシーには、複数のエンティティまたは 1 つのエンティティのデータアクセス権のほか、AWS CMF ユーザーインターフェイス内で自動化ジョブやその他のアクションを実行するためのアクセス権を含めることができます。これらのポリシーは、ユーザーが AWS CMF API とやり取りするときにも適用されます。 |
ポリシー
ポリシーは、AWS での Cloud Migration Factory で使用できる最もきめ細かいアクセス許可を提供します。このポリシーには、ユーザーに付与される権限のタスクレベル定義が格納されます。ポリシー内には、ユーザーグループに付与できる主な権限タイプがメタデータ権限と自動化アクション権限と 2 つあります。メタデータ権限を使うことで、管理者は必要に応じて作成、読み取り、更新、削除の権限を指定して、個々のスキーマとその属性に対するグループのアクセスレベルを制御できます。自動化アクション権限は、AWS MGN 統合アクションなど特定の自動化アクションを実行するためのアクセス権をユーザーに付与します。
メタデータアクセス許可
AWS CMF 内の各スキーマまたはエンティティに対して、管理者はユーザーが特定の属性にアクセスできるようにするポリシーを定義できるほか、それらの属性へのアクセスレベルも定義できます。新しいポリシーの作成時における、すべてのスキーマのデフォルト権限には、アクセス権がありません。最初に設定する必要があるのは、項目/レコードレベルでこのポリシーに必要なアクセスレベルです。以下の表は、使用可能なレコードレベルのアクセス権限をまとめたものです。
| アクセスレベル | 説明 |
|---|---|
|
作成 |
選択すると、このポリシーが適用されるユーザーは、このタイプの新しいレコード/アイテムをメタデータストアに追加できるようになります。[作成] が選択されているが、他の権限は許可されていない場合、ユーザーは選択した属性に関係なく、レコードを作成し、必要な属性のみを値に設定できます。 |
|
読み取り |
実装されていません 選択すると、ユーザーにはこのエンティティタイプのすべてのレコード/アイテムに対する読み取り権限が付与されます。選択しない場合、ユーザーには UI や API のデータアイテムは表示されません。 |
|
更新 |
選択すると、このポリシーが適用されるユーザーは、属性レベルのアクセスリストで指定された属性に対してのみ、このタイプのレコード/アイテムをメタデータストアに更新できるようになります。更新を選択する場合、少なくとも 1 つの属性を選択する必要があります。選択しないと、保存時にエラーが表示されます。 |
|
削除 |
選択すると、このポリシーが適用されるユーザーは、このタイプの新しいレコード/アイテムをメタデータストアから削除できるようになります。 |
ロール
ロールにより、1 つ以上のポリシーを 1 つ以上のグループに割り当てることができます。ロールに割り当てられたすべてのポリシーを組み合わせることで、アクセス権限が付与されます。ロールは、プロジェクトや組織内の職務や職務に基づいて作成できます。
