IAM: IAM ロールを特定の AWS のサービスに渡す - AWS Identity and Access Management

IAM: IAM ロールを特定の AWS のサービスに渡す

この例は、IAM サービスロールを Amazon CloudWatch サービスに渡すことを許可する ID ベースのポリシーの作成方法を示しています。このポリシーでは、AWS API または AWS CLI から、このアクションをプログラムで完了するために必要なアクセス権を許可します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

サービスロールは、IAM ロールを引き受けることができるプリンシパルとして AWS サービスを指定する ロールです。これにより、サービスはユーザーに代わってロールを引き受け、他のサービスのリソースにアクセスできます。Amazon CloudWatch がユーザーが渡すロールを引き受けるようにするには、ユーザーのロールの信頼ポリシーのプリンシパルとして cloudwatch.amazonaws.com サービスプリンシパルを指定する必要があります。サービスプリンシパルはサービスによって定義されます。サービスのサービスプリンシパルについては、そのサービスのドキュメントを参照してください。一部のサービスについては、IAM と連携する AWS のサービス を参照し、[サービスにリンクされたロール] 列で [はい] になっているサービスを探してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。amazonaws.com を検索してサービスプリンシパルを表示します。

サービスにサービスロールを渡す方法の詳細については、「AWS サービスにロールを渡すアクセス許可をユーザーに付与する」を参照してください。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}