AWS リソースへのアクセス
AWS リソースへのきめ細かなアクセスを実装するために、さまざまなリソースに対していろいろな人に異なるレベルのアクセス権限を付与できます。例えば、Amazon EC2、Amazon S3、DynamoDB、Amazon Redshift
他のユーザーには、一部の Amazon S3 バケットのみへの読み取り専用アクセスや、一部の Amazon EC2 インスタンスのみを管理する権限、あるいは請求情報のみへのアクセスを許可することができます。
次のポリシーは、特定の Amazon S3 バケットに対するすべてのアクションを許可し、Amazon S3 以外のすべての AWS のサービスへのアクセスを明示的に拒否するために使用できる 1 つの方法の例です。
{ “Version”: “2012-10-17”, “Statement”: [ { “Effect”: “Allow”, “Action”: “s3:*”, “Resource”: [ “arn:aws:s3:::bucket-name”, “arn:aws:s3:::bucket-name/*” ], }, { “Effect”: “Deny”, “NotAction”: “s3:*”, “NotResource”: [ “arn:aws:s3:::bucket-name”, “arn:aws:s3:::bucket-name/*” ] } ] }
ポリシーは、ユーザーアカウントまたはロールに付与できます。IAM ポリシーの他の例については、「IAM ID ベースのポリシーの例」を参照してください。