Amazon Transcribe と IAM の連携について - Amazon Transcribe

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Transcribe と IAM の連携について

IAM を使用して Amazon Transcribe へのアクセスを管理する前に、Amazon Transcribe で利用できる IAM の機能について学びます。

Amazon TranscribeAWSIAMほとんどの機能で他のサービスがどのように機能するかについての概要を知るには、IAMIAMユーザーガイドのAWS連携するサービス」を参照してください。

Amazon Transcribe のアイデンティティベースポリシー

アイデンティティベースのポリシーのサポート

はい

アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件を制御します。アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「IAM ポリシーの作成」を参照してください。

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、アクションを許可または拒否する条件を指定できます。プリンシパルは、それが添付されているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用できるすべての要素について学ぶには、「IAM ユーザーガイド」の「IAM JSON ポリシーの要素のリファレンス」を参照してください。

Amazon Transcribe のアイデンティティベースのポリシーの例

Amazon Transcribe アイデンティティベースのポリシーの例を表示するには、Amazon Transcribe アイデンティティベースポリシーの例を参照してください。

Amazon Transcribe 内のリソースベースのポリシー

リソースベースのポリシーのサポート

いいえ

リソースベースのポリシーは、リソースにアタッチする JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。ポリシーが添付されているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、プリンシパルを指定する必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または AWS のサービス を含めることができます。

クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウント にある場合、信頼できるアカウントの IAM 管理者は、リソースにアクセスするための許可をプリンシパルエンティティ (ユーザーまたはロール) に付与する必要もあります。IAM 管理者は、アイデンティティベースのポリシーをエンティティにアタッチすることで許可を付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、ID ベースのポリシーをさらに付与する必要はありません。詳細については、IAM ユーザーガイドの「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。

Amazon Transcribe のポリシーアクション

ポリシーアクションに対するサポート

はい

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの プリンシパル がどの リソース に対してどのような 条件 下で アクション を実行できるかということです。

JSON ポリシーの Action 要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための許可を付与するポリシーで使用されます。

Amazon Transcribe アクションのリストを確認するには、サービス認可リファレンスの「Amazon Transcribe で定義されるアクション」を参照してください。

Amazon Transcribe のポリシーアクションは、アクションの前に transcribe プレフィックスを使用します。単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。

"Action": [ "transcribe:action1", "transcribe:action2" ]

ワイルドカード (*) を使用すると、複数のアクションを指定することができます。たとえば、List という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "transcribe:List*"

Amazon Transcribe アイデンティティベースのポリシーの例を表示するには、Amazon Transcribe アイデンティティベースポリシーの例を参照してください。

Amazon Transcribe のポリシーリソース

ポリシーリソースに対するサポート

はい

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素は、オブジェクトあるいはアクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Amazon Transcribe リソースのタイプとその ARN のリストを確認するには、サービス認可リファレンスの「Amazon Transcribe で定義されるリソース」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「Amazon Transcribe で定義されるアクション」を参照してください。

Amazon Transcribe アイデンティティベースのポリシーの例を表示するには、Amazon Transcribe アイデンティティベースポリシーの例を参照してください。

Amazon Transcribe 向けのポリシー条件キー

サービス固有のポリシー条件キーのサポート

はい

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの条件演算子を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、AWS では AND 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では OR 論理演算子を使用して条件を評価します。ステートメントの許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる許可を付与することができます。詳細については、IAM ユーザーガイドの「‭‬IAM ポリシーの要素: 変数およびタグ‭‬」を参照してください。

AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」の「AWS グローバル条件コンテキストキー」を参照してください。

Amazon Transcribe の条件キーのリストを確認するには、サービス認可リファレンスの「Amazon Transcribe の条件キー」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「Amazon Transcribe で定義されるアクション」を参照してください。

Amazon Transcribe アイデンティティベースのポリシーの例を表示するには、「Amazon Transcribe アイデンティティベースポリシーの例」を参照してください。

Amazon Transcribe の ACL

ACL のサポート

いいえ

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするための許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

Amazon Transcribe による ABAC

ABAC (ポリシー内のタグ) のサポート

部分的

属性ベースのアクセスコントロール (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。AWS では、属性はタグと呼ばれます。タグは、IAM エンティティ (ユーザーまたはロール)、および多数の AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初のステップです。その後、プリンシパルのタグがアクセスしようとしているリソースのタグと一致した場合に操作を許可するように ABAC ポリシーをします。

ABAC は、急速に成長している環境でポリシー管理が面倒な状況に役立ちます。

タグに基づいてアクセスを管理するには、aws:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素 でタグ情報を提供します。

サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値ははいです。サービスが一部のリソースタイプに対してのみ 3 つの条件キーすべてをサポートする場合、値は部分的です。

ABAC の詳細については、IAM ユーザーガイドの「ABAC とは?」を参照してください。ABAC を設定する手順を示したチュートリアルを表示するには、IAM ユーザーガイドの 「属性ベースのアクセスコントロール (ABAC) を使用する」を参照してください。

Amazon Transcribe リソースのタグ付けの詳細については、リソースのタグ付けを参照してください。タグベースのアクセス制御の詳細については、「タグを使用した AWS リソースへのアクセスの制御」 を参照してください。

Amazon Transcribe での一時的な認証情報の使用

一時認証情報のサポート

はい

AWS のサービス には、一時認証情報を使用してサインインしても機能しないものがあります。一時的な認証情報を利用できる AWS のサービス を含めた詳細情報については、IAM ユーザーガイドの「IAM と連携する AWS のサービス」を参照してください。

ユーザー名とパスワード以外の方法で AWS Management Console にサインインする場合は、一時認証情報を使用していることになります。例えば、会社の Single Sign-On (SSO) リンクを使用して AWS にアクセスすると、そのプロセスは自動的に一時認証情報を作成します。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、IAM ユーザーガイドの「ロールへの切り替え (コンソール)」を参照してください。

一時認証情報は、AWS CLI または AWS API を使用して手動で作成できます。作成後、一時認証情報を使用して AWS にアクセスできるようになります。AWS は、長期的なアクセスキーを使用する代わりに、一時認証情報を動的に生成することをお勧めします。詳細については、「IAM の一時的セキュリティ認証情報」を参照してください。

Amazon Transcribe のクロスサービスプリンシパル許可

プリンシパル許可のサポート

はい

IAM ユーザーまたはロールを使用して AWS でアクションを実行するユーザーは、プリンシパルと見なされます。ポリシーは、プリンシパルにアクセス許可を付与します。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。この場合、両方のアクションを実行するための許可が必要です。アクションがポリシーで追加の依存アクションを必要とするかどうかを確認するには、「サービス認可リファレンス」の「Amazon Transcribe のアクション、リソース、および条件キー」を参照してください。

Amazon Transcribe のサービスロール

サービスロールに対するサポート

はい

サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロール です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS のサービス にアクセス許可を委任するロールの作成」を参照してください。

警告

サービスロールの許可を変更すると、Amazon Transcribe の機能が破損する可能性があります。Amazon Transcribe が指示する場合以外は、サービスロールを編集しないでください。

Amazon Transcribe のサービスリンクロール

サービスリンクロールのサポート

いいえ

サービスリンクロールは、AWS のサービスにリンクされているサービスロールの一種です。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは、AWS アカウント に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールの許可を表示できますが、編集することはできません。

Amazon Transcribe はサービスにリンクされたロールをサポートしていません。

他のサービスのサービスにリンクされたロールの作成または管理について詳しくは、「AWS連携するサービス」を参照してください。IAM表の中から、[Service-linked role] (サービスにリンクされたロール) 列に Yes と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。