AWSAWS Transfer Family の マネージドポリシー - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAWS Transfer Family の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。必要なアクセス許可のみをチームに提供する AWS Identity and Access Management (IAM) カスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。すべての AWS 管理ポリシーの詳細なリストについては、AWS 「 管理ポリシーリファレンスガイド」を参照してください。

AWS サービスは、 AWS マネージドポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは、新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。

さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートします。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSTransferConsoleFullAccess

このAWSTransferConsoleFullAccessポリシーは、 AWS マネジメントコンソールを介して Transfer Family へのフルアクセスを提供します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • acm:ListCertificates- 証明書 Amazon Resource Names(ARN)のリストと各 ARN のドメイン名を取得する権限を付与する。

  • ec2:DescribeAddresses- 1つ以上のElastic IPアドレスを記述する許可を与える。

  • ec2:DescribeAvailabilityZones - 利用可能なアベイラビリティ・ゾーンを1つ以上記述する許可を与える。

  • ec2:DescribeNetworkInterfaces - 1つ以上のエラスティックネットワークインターフェースを記述する許可を与える。

  • ec2:DescribeSecurityGroupsー1 つ以上のセキュリティグループを記述する許可を付与

  • ec2:DescribeSubnetsー1 つ以上のサブネットを記述する許可を付与

  • ec2:DescribeVpcs - 1つまたは複数の仮想プライベートクラウド(VPC)を記述する許可を与えます。

  • ec2:DescribeVpcEndpoints - 1つ以上のVPCエンドポイントを記述する許可を与えます。

  • health:DescribeEventAggregatesー各イベントタイプ (発行、スケジュール変更、およびアカウント通知) のイベント数を返します。

  • iam:GetPolicyVersionー指定の管理ポリシーのバージョンについて、ポリシードキュメントなどの情報を取得する許可を付与

  • iam:ListPoliciesーすべての管理ポリシーを一覧表示する許可を付与

  • iam:ListRolesー指定されたパスのプレフィックスを持つ IAM ロールを一覧表示する許可を付与

  • iam:PassRole — Transfer Family に IAM ロールを渡すための許可を付与します。詳細については、「 にロールを渡すアクセス許可をユーザーに付与する AWS のサービス」を参照してください。

  • route53:ListHostedZonesー現在の AWS アカウントに関連付けられたパブリックホストゾーンおよびプライベートホストゾーンのリストを取得するアクセス許可を付与

  • s3:ListAllMyBucketsーリクエストの認証された送信者が所有するすべてのバケットを一覧表示するアクセス許可を付与します

  • transfer:* — Transfer Family リソースへのアクセスを許可します。アスタリスク (*) はすべてのリソースへのアクセスを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "transfer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "acm:ListCertificates", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "health:DescribeEventAggregates", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListRoles", "route53:ListHostedZones", "s3:ListAllMyBuckets", "transfer:*" ], "Resource": "*" } ] }

AWS 管理ポリシー: AWSTransferFullAccess

この AWSTransferFullAccess ポリシーは、Transfer Family サービスへのフルアクセスを提供します

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • transfer:* — Transfer Family のリソースにアクセスする権限を付与します。アスタリスク (*) はすべてのリソースへのアクセスを許可します。

  • iam:PassRole — Transfer Family に IAM ロールを渡すための許可を付与します。詳細については、「 にロールを渡すアクセス許可をユーザーに付与する AWS のサービス」を参照してください。

  • ec2:DescribeAddresses- 1つ以上のElastic IPアドレスを記述する許可を与える。

  • ec2:DescribeNetworkInterfacesー1 つ以上のネットワークインターフェイスを記述する許可を付与

  • ec2:DescribeVpcEndpoints - 1つ以上のVPCエンドポイントを記述する許可を与えます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "transfer:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "transfer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAddresses" ], "Resource": "*" } ] }

AWS 管理ポリシー: AWSTransferLoggingAccess

このAWSTransferLoggingAccessポリシーは、 AWS Transfer Family にログストリームとグループを作成し、アカウントにログイベントを配置するためのフルアクセスを付与します。

許可の詳細

このポリシーには、 に対する以下のアクセス許可が含まれています Amazon CloudWatch Logs。

  • CreateLogStream — プリンシパルでログストリームを作成するアクセス許可を付与します。

  • DescribeLogStreams - プリンシパルでロググループのログストリームを一覧表示できます。

  • CreateLogGroup — プリンシパルでロググループを作成するアクセス許可を付与します。

  • PutLogEvents — プリンシパルでログイベントのバッチを指定されたログストリームにアップロードできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "*" } ] }

AWS マネージドポリシー: AWSTransferReadOnlyAccess

AWSTransferReadOnlyAccess ポリシーは、Transfer Familyサービスへの読み取り専用アクセスを提供します。

許可の詳細

このポリシーには Transfer Family に関する以下のアクセス許可が含まれています。

  • DescribeUser — プリンシパルでユーザーの説明を表示できます。

  • DescribeServer — プリンシパルでユーザーの説明を表示するためのアクセス許可を付与します。

  • ListUsers - プリンシパルでユーザーの一覧を表示できます。

  • ListServers — プリンシパルでアカウントのサーバーを一覧表示するアクセス許可を付与します。

  • TestIdentityProvider - 構成された ID プロバイダーが正しく設定されているかどうかをプリンシパルでテストできます。

  • ListTagsForResource - プリンシパルでリソースのタグを一覧表示するためのアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "transfer:DescribeUser", "transfer:DescribeServer", "transfer:ListUsers", "transfer:ListServers", "transfer:TestIdentityProvider", "transfer:ListTagsForResource" ], "Resource": "*" } ] }

AWS Transfer Family の AWS マネージドポリシーへの更新

AWS Transfer Family の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動アラートについては、のドキュメント履歴 AWS Transfer Family ページの RSS フィードを購読してください。

変更 説明 日付

ドキュメントの更新

Transfer Family の各管理ポリシーにセクションを追加しました。

2022 年 1 月 27 日

AWSTransferReadOnlyAccess – 既存ポリシーへの更新

AWS Transfer Family は、ポリシーが を読み取れるように新しいアクセス許可を追加しました AWS Managed Microsoft AD。

2021 年 9 月 30 日

AWS Transfer Family が変更の追跡を開始しました

AWS Transfer Family が AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 6 月 15 日