翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS AppSync のアイデンティティベースのポリシー
デフォルトでは、ユーザーとロールには AWS AppSync リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
各リソースタイプの ARN の形式など、 AWS AppSync で定義されるアクションとリソースタイプの詳細については、*「サービス認可リファレンス*」の[AWS AppSync のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)」を参照してください。 ARNs
IAM アイデンティティベースのポリシーを作成および設定するためのベストプラクティスについては、「[IAM ポリシーのベストプラクティス](best-practices.md#security_iam_service-with-iam-policy-best-practices)」を参照してください。
AWS AppSync の IAM アイデンティティベースのポリシーのリストについては、「」を参照してください[AWS AWS AppSync の マネージドポリシー](security_iam_policy_list.md)。
**Topics**
+ [AWS AppSync コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [1 つの Amazon S3 バケットへのアクセス](#security_iam_id-based-policy-examples-access-one-bucket)
+ [タグに基づく AWS AppSync *ウィジェット*の表示](#security_iam_id-based-policy-examples-view-widget-tags)
+ [AWS AWS AppSync の マネージドポリシー](security_iam_policy_list.md)
## AWS AppSync コンソールの使用
AWS AppSync コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 内の AWS AppSync リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
IAM ユーザーとロールが引き続き AWS AppSync コンソールを使用できるようにするには、エンティティに AWS AppSync `ConsoleAccess`または `ReadOnly` AWS 管理ポリシーもアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 1 つの Amazon S3 バケットへのアクセス
この例では、 AWS アカウントの IAM ユーザーに Amazon S3 バケットの 1 つへのアクセス権を付与します`examplebucket`。また、ユーザーがオブジェクトを追加、更新、および削除できるようにします。
このポリシーでは、ユーザーに `s3:PutObject`、`s3:GetObject`、`s3:DeleteObject` のアクセス許可を付与するだけでなく、`s3:ListAllMyBuckets`、`s3:GetBucketLocation`、および `s3:ListBucket` のアクセス許可も付与します。これらが、コンソールで必要とされる追加のアクセス許可です。またコンソール内のオブジェクトのコピー、カット、貼り付けを行うためには、`s3:PutObjectAcl` および `s3:GetObjectAcl` アクションが必要となります。コンソールを使用して、ユーザーにアクセス許可を付与し、テストする例の解説については、「[チュートリアル例: ユーザーポリシーを使用したバケットへのアクセスのコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListBucketsInConsole",
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Sid":"ViewSpecificBucketInfo",
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::examplebucket"
},
{
"Sid":"ManageBucketContents",
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::examplebucket/*"
}
]
}
```
------
## タグに基づく AWS AppSync *ウィジェット*の表示
アイデンティティベースのポリシーの条件を使用して、タグに基づいて AWS AppSync リソースへのアクセスを制御できます。この例では、*ウィジェット*を表示できるポリシーを作成する方法を示します。ただし、アクセス許可は、*widget* タグ `Owner` にそのユーザーのユーザー名の値がある場合にのみ付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。
このポリシーをアカウントの IAM ユーザーにアタッチできます。という名前のユーザーが AWS AppSync *ウィジェット*を表示`richard-roe`しようとする場合、*ウィジェット*には `Owner=richard-roe`または のタグを付ける必要があります`owner=richard-roe`。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字が区別されないため、条件タグキー `Owner` は `Owner` と `owner` の両方に一致します。詳細については、*IAM ユーザーガイド*の[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)を参照してください。
# AWS AWS AppSync の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要なアクセスのみを許可する [IAM のカスタマー管理の](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS マネージドポリシー: AWSAppSyncInvokeFullAccess
`AWSAppSyncInvokeFullAccess` AWS 管理ポリシーを使用して、管理者が コンソールまたは個別に AWS AppSync サービスにアクセスできるようにします。
`AWSAppSyncInvokeFullAccess` ポリシーを IAM アイデンティティにアタッチできます。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ `AWS AppSync` – AWS AppSync 内のすべてのリソースへの完全な管理アクセスを許可します
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:GetGraphqlApi",
"appsync:ListGraphqlApis",
"appsync:ListApiKeys"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSAppSyncSchemaAuthor
`AWSAppSyncSchemaAuthor` AWS マネージドポリシーを使用して、IAM ユーザーが にアクセスして GraphQL スキーマを作成、更新、クエリできるようにします。これらの権限でユーザーが実行できる内容については、「[を使用した GraphQL APIsの設計 AWS AppSync](designing-a-graphql-api.md)」を参照してください。
`AWSAppSyncSchemaAuthor` ポリシーを IAM アイデンティティにアタッチできます。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ `AWS AppSync` – 以下のアクションを許可します。
+ GraphQL スキーマを作成する
+ GraphQL のタイプ、リゾルバー、関数の作成、変更、削除を許可する
+ リクエストとレスポンスのテンプレートのロジックを評価する
+ ランタイムとコンテキストを使用してコードを評価する
+ GraphQL クエリを GraphQL API に送信する
+ GraphQL データを取得する
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:CreateResolver",
"appsync:CreateType",
"appsync:DeleteResolver",
"appsync:DeleteType",
"appsync:GetResolver",
"appsync:GetType",
"appsync:GetDataSource",
"appsync:GetSchemaCreationStatus",
"appsync:GetIntrospectionSchema",
"appsync:GetGraphqlApi",
"appsync:ListTypes",
"appsync:ListApiKeys",
"appsync:ListResolvers",
"appsync:ListDataSources",
"appsync:ListGraphqlApis",
"appsync:StartSchemaCreation",
"appsync:UpdateResolver",
"appsync:UpdateType",
"appsync:TagResource",
"appsync:UntagResource",
"appsync:ListTagsForResource",
"appsync:CreateFunction",
"appsync:UpdateFunction",
"appsync:GetFunction",
"appsync:DeleteFunction",
"appsync:ListFunctions",
"appsync:ListResolversByFunction",
"appsync:EvaluateMappingTemplate",
"appsync:EvaluateCode"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSAppSyncPushToCloudWatchLogs
AWS AppSync は Amazon CloudWatch を使用して、GraphQL リクエストのトラブルシューティングと最適化に使用できるログを生成することで、アプリケーションのパフォーマンスをモニタリングします。詳細については、「[CloudWatch を使用した GraphQL API データのモニタリングとログ](monitoring.md)」を参照してください。
`AWSAppSyncPushToCloudWatchLogs` AWS マネージドポリシーを使用して、 AWS AppSync が IAM ユーザーの CloudWatch アカウントにログをプッシュできるようにします。
`AWSAppSyncPushToCloudWatchLogs` ポリシーを IAM アイデンティティにアタッチできます。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ `CloudWatch Logs` – 指定した名前のロググループとストリームの作成を AWS AppSync に許可します。 AWS AppSync は、指定したログストリームにログイベントをプッシュします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSAppSyncAdministrator
`AWSAppSyncAdministrator` AWS 管理ポリシーを使用して、管理者が AWS コンソールを除くすべての AWS AppSync にアクセスできるようにします。
IAM エンティティに `AWSAppSyncAdministrator` をアタッチできます。 AWS AppSync は、ユーザーに代わってアクションを実行することを許可するサービスロールにもこのポリシーをアタッチします。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ `AWS AppSync` — AWS AppSync のすべてのリソースへの完全な管理アクセスを許可します
+ `IAM` – 以下のアクションを許可します。
+ サービスにリンクされたロールを作成して AWS AppSync がユーザーに代わって他のサービスのリソースを分析できるようにします。
+ サービスにリンクされたロールの削除
+ サービスにリンクされたロールを他の AWS サービスに渡し、後でロールを引き受け、ユーザーに代わってアクションを実行する
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"appsync.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "appsync.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
}
]
}
```
------
## AWS マネージドポリシー: AWSAppSyncServiceRolePolicy
`AWSAppSyncServiceRolePolicy` AWS マネージドポリシーを使用して、 AWS AppSync が使用または管理する AWS サービスとリソースへのアクセスを許可します。
IAM エンティティに `AWSAppSyncServiceRolePolicy` をアタッチすることはできません。このポリシーは、 AWS AppSync がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[AWS AppSync のサービスにリンクされたロール](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)」を参照してください。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ `X-Ray` – AWS AppSync は を使用して AWS X-Ray 、アプリケーション内で行われたリクエストに関するデータを収集します。詳細については、「[ AWS X-Ray を使用して AWS AppSync でリクエストをトレースする](x-ray-tracing.md)」を参照してください。
このポリシーは以下のアクションを許可します。
+ サンプリングルールとその結果の取得
+ X-Ray デーモンへのトレースデータの送信
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 管理ポリシーへのAWS AppSync 更新
このサービスがこれらの変更の追跡を開始してからの AWS AppSync の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS AppSync ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) - 既存のポリシーに対する更新 | ランタイムとコンテキストを使用したコードの評価を許可する `EvaluateCode` ポリシーアクションを追加しました。 | 2023 年 2 月 7 日 |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) - 既存のポリシーに対する更新 | API のリスト、取得、作成、更新、削除の各機能を許可するポリシーアクションを追加しました。 リクエストとレスポンスのリゾルバーのマッピングテンプレートロジックに対するユーザーの評価を許可する `EvaluateMappingTemplate` ポリシーアクションを追加しました。 リソースのタグ付けを許可するポリシーアクションを追加しました。 | 2022 年 8 月 25 日 |
| AWS AppSync が変更の追跡を開始しました | AWS AppSync は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2022 年 8 月 25 日 |