Amazon WorkDocs と IAM との連携方法 - Amazon WorkDocs
WorkDocs アイデンティティベースのポリシーWorkDocs リソースベースのポリシーWorkDocs タグに基づく認可WorkDocs IAM ロール

注意: 新しい顧客のサインアップとアカウントのアップグレードは、Amazon WorkDocs では利用できなくなりました。移行手順については、WorkDocs からデータを移行する方法」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon WorkDocs と IAM との連携方法

IAM を使用して WorkDocs へのアクセスを管理する前に、WorkDocs で使用できる IAM 機能を理解しておく必要があります。WorkDocs およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM ユーザーガイドAWS 「IAM と連携する のサービス」を参照してください。

WorkDocs アイデンティティベースのポリシー

IAM アイデンティティベースのポリシーでは、許可されるアクションまたは拒否されるアクションを指定できます。WorkDocs は特定のアクションをサポートしています。JSON ポリシーで使用する要素については、「IAM ユーザーガイド」「IAM JSON ポリシー要素のリファレンス」(IAM JSON ) をご参照ください。

アクション

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは依存アクションと呼ばれます。

このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

WorkDocs のポリシーアクションは、アクションの前にプレフィックス を使用しますworkdocs:。たとえば、WorkDocs DescribeUsers API オペレーションを実行するアクセス許可を付与するには、ポリシーに workdocs:DescribeUsersアクションを含めます。ポリシーステートメントにはAction または NotAction 要素を含める必要があります。WorkDocs は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

"Action": [
      "workdocs:DescribeUsers",
      "workdocs:CreateUser"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

"Action": "workdocs:Describe*"

注記

下位互換性を確保するには、 zocalo アクションを含めます。例えば:

"Action": [
"zocalo:*",
"workdocs:*"
],

WorkDocs アクションのリストを確認するには、IAM ユーザーガイドWorkDocs で定義されるアクション」を参照してください。

リソース

WorkDocs は、ポリシーでのリソース ARNs の指定をサポートしていません。

条件キー

WorkDocs はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。

WorkDocs アイデンティティベースのポリシーの例を表示するには、「」を参照してくださいAmazon WorkDocs ID ベースのポリシーの例

WorkDocs リソースベースのポリシー

WorkDocs はリソースベースのポリシーをサポートしていません。

WorkDocs タグに基づく認可

WorkDocs は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。

WorkDocs IAM ロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

WorkDocs での一時的な認証情報の使用

フェデレーションでサインインしたり、IAM ロールを引き受けたり、クロスアカウント ロールを引き受けたりするには、一時的な認証情報を使用することを強くお勧めします。一時的なセキュリティ認証情報を取得するには、AssumeRoleGetFederationToken などの AWS STS API オペレーションを呼び出します。

WorkDocs は一時的な認証情報の使用をサポートしています。

サービスにリンクされた役割

サービスにリンクされたロールを使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

WorkDocs は、サービスにリンクされたロールをサポートしていません。

サービス役割

この機能により、ユーザーに代わってサービスがサービス役割を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービス役割はIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

WorkDocs はサービスロールをサポートしていません。