翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon MQ で IAM が機能する仕組み
IAM を使用して Amazon MQ へのアクセスを管理する前に、Amazon MQ で使用できる IAM 機能について理解しておく必要があります。Amazon MQ およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
Amazon MQ はAmazon MQ API オペレーションに IAM を使用してブローカーを作成、更新、削除、一覧表示します。メッセージを発行およびサブスクライブするためのブローカーアクセスのために、Amazon MQ for ActiveMQ はネイティブ ActiveMQ 認証と LDAP をサポートし、Amazon MQ for RabbitMQ は IAM 認証やその他の方法をサポートします。詳細については、「[ブローカーの認証と認可](security-broker-auth-ref.md)」を参照してください。
**Topics**
+ [Amazon MQ のアイデンティティベースポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon MQ のリソースベースポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon MQ タグに基づいた認可](#security_iam_service-with-iam-tags)
+ [Amazon MQ の IAM ロール](#security_iam_service-with-iam-roles)
## Amazon MQ のアイデンティティベースポリシー
IAM アイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon MQ は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon MQ のポリシーアクションは、アクションの前にプレフィックス `mq:` を使用します。例えば、Amazon MQ `CreateBroker` API オペレーションで Amazon MQ インスタンスを実行する許可を付与するには、ユーザーのポリシーに `mq:CreateBroker` アクションを含めます。ポリシーステートメントには、`Action` または `NotAction` エレメントを含める必要があります。Amazon MQ は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"mq:action1",
"mq:action2"
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
```
"Action": "mq:Describe*"
```
Amazon MQ アクションのリストを確認するには、*IAM ユーザーガイド*の「[Amazon MQ で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Amazon MQ では、プライマリ AWS リソースは Amazon MQ メッセージブローカーとその設定です。Amazon MQ ブローカーと設定には、以下の表にあるとおり、それぞれ一意の Amazon リソースネーム (ARN) が関連付けられています。
****
| リソースタイプ | ARN | 条件キー |
| --- | --- | --- |
| brokers | arn:aws:mq:us-east-1:123456789012:broker:\$1\$1brokerName\$1:\$1\$1brokerId\$1 | [aws:ResourceTag/\$1\$1TagKey\$1](#amazonmq-aws_ResourceTag___TagKey_) |
| configurations | arn:\$1\$1Partition\$1:mq:\$1\$1Region\$1:\$1\$1Account\$1:configuration:\$1\$1configuration-id\$1 | [aws:ResourceTag/\$1\$1TagKey\$1](#amazonmq-aws_ResourceTag___TagKey_) |
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントでブローカー ID `b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9` を持つ `MyBroker` というブローカーを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:mq:us-east-1:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
```
特定のアカウントに属するすべてのブローカーと設定を指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:mq:us-east-1:123456789012:*"
```
リソースを作成するためのアクションなど、Amazon MQ アクションには特定のリソースで実行できないものがあります。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
API アクション `CreateTags` には、ブローカーと設定の両方が必要です。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
Amazon MQ のリソースタイプとそれらの ARN のリストを確認するには、*IAM ユーザーガイド*の「[Amazon MQ で定義されるリソースタイプ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[Amazon MQ で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-actions-as-permissions)」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon MQ はサービス固有の条件キーを定義しませんが、いくつかのグローバル条件キーの使用がサポートされています。Amazon MQ の条件キーのリストを確認するには、*IAM ユーザーガイド*の「[Amazon MQ の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、「[Amazon MQ で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-actions-as-permissions)」を参照してください。
****
| 条件キー | 説明 | タイプ |
| --- | --- | --- |
| [aws:RequestTag/\$1\$1TagKey\$1](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | リクエストで渡されたタグに基づいてアクションをフィルタリングします。 | String |
| [aws:ResourceTag/\$1\$1TagKey\$1](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 | String |
| [aws:TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) | リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 | String |
### 例
Amazon MQ のアイデンティティベースポリシーの例を確認するには、「[Amazon MQ のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Amazon MQ のリソースベースポリシー
現在、Amazon MQ はリソースベースの許可またはリソースベースのポリシーを使用した IAM 認証をサポートしていません。
## Amazon MQ タグに基づいた認可
タグは、Amazon MQ リソースにアタッチする、または Amazon MQ へのリクエストで渡すことができます。タグに基づいてアクセスを管理するには、`mq:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
Amazon MQ はタグベースのポリシーをサポートしています。例えば、キー `environment` および値 `production` を持つタグが含まれる Amazon MQ リソースへのアクセスを拒否することができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"mq:DeleteBroker",
"mq:RebootBroker",
"mq:DeleteTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "production"
}
}
}
]
}
```
------
このポリシーは、`environment/production` タグが含まれる Amazon MQ ブローカーを削除または再起動する能力を `Deny` します。
タグ付けの詳細については、以下を参照してください。
+ [Amazon MQ リソースへのタグの追加](amazon-mq-tagging.md)
+ [IAM タグを使用したアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)
## Amazon MQ の IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Amazon MQ での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Amazon MQ は、一時的な認証情報の使用をサポートします。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Amazon MQ は、サービスロールをサポートします。