翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Batch IAM ポリシー、ロール、アクセス許可
デフォルトでは、ユーザーには AWS Batch 、 API、 AWS Batch コンソール、または を使用して AWS Batch リソースを作成または変更したり、タスクを実行したりするアクセス許可はありません AWS CLI。ユーザーがこれらのリソースを利用するには、特定のリソースと APIアクションを使用する許可を付与するIAM ポリシーを作成する必要があります。続いて、こうしたアクセス権限が必要なユーザーまたはグループにそのポリシーをアタッチします。
ポリシーをユーザーまたはユーザーグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。詳細については、*IAM ユーザーガイド* の [アクセス許可とポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html)を参照してください。カスタム IAM ポリシーの管理と作成の詳細については、[IAM ポリシーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html)を参照してください。
AWS Batch は、ユーザーに代わって他の を呼び出し AWS のサービス ます。そのため、 AWS Batch は 認証情報を使用して認証する必要があります。具体的には、これらのアクセス許可を提供する IAM ロールとポリシーを作成して AWS Batch 認証します。次に、それらの作成時に、そのロールをコンピューティング環境に関連付けます。詳細については、IAM *ユーザーガイド*の[Amazon ECS インスタンスロール](instance_IAM_role.md)「」、「IAM ロール」、[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」、および[AWS 「サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html)
**Topics**
+ [IAM ポリシーの構造](iam-policy-structure.md)
+ [リソース: のポリシーの例 AWS Batch](ExamplePolicies_BATCH.md)
+ [リソース: AWS Batch 管理ポリシー](batch_managed_policies.md)
# IAM ポリシーの構造
次のトピックでは、IAM ポリシーの簡単な構造について説明します。
**Topics**
+ [ポリシー構文](#policy-syntax)
+ [の API アクション AWS Batch](#UsingWithbatch_Actions)
+ [の Amazon リソースネーム AWS Batch](#batch_ARN_Format)
+ [ユーザーが必要なアクセス許可を持っていることを確認する](#check-required-permissions)
## ポリシー構文
IAM ポリシーは 1 つ以上のステートメントで構成される JSON ドキュメントです。各ステートメントの構成は以下のとおりです。
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
ステートメントは 4 つの主なエレメントで構成されています。
+ **Effect**: *effect* は、`Allow` または `Deny` にすることができます。デフォルトでは、 ユーザーはリソースおよび API アクションを使用するアクセス許可がありません。そのため、すべてのリクエストが拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に上書きされます。
+ **Action]** (アクション): *action* は、アクセス許可を付与または拒否する対象とする、特定の API アクションです。*アクション*を指定する方法に関する指示は、[の API アクション AWS Batch](#UsingWithbatch_Actions) を参照してください。
+ **Resource]** (リソース): アクションによって影響を及ぼされるリソースです。 AWS Batch API アクションの中には、アクションによって作成/変更できるリソースをポリシー内で特定できるものもあります。ステートメントでリソースを指定するには、Amazon リソースネーム (ARN) を使用します。詳細については、「[AWS Batch API アクションでサポートされているリソースレベルのアクセス許可](batch-supported-iam-actions-resources.md)」および「[の Amazon リソースネーム AWS Batch](#batch_ARN_Format)」を参照してください。 AWS Batch API オペレーションが現在リソースレベルのアクセス許可をサポートしていない場合は、ワイルドカード (\$1) を含めて、すべてのリソースが アクションの影響を受けるように指定します。
+ **Condition]** (条件): condition はオプションです。ポリシーの発効条件を指定するために使用します。
の IAM ポリシーステートメントの例の詳細については AWS Batch、「」を参照してください[リソース: のポリシーの例 AWS Batch](ExamplePolicies_BATCH.md)。
## の API アクション AWS Batch
IAM ポリシーステートメントで、IAM をサポートするすべてのサービスからの任意の API アクションを指定できます。の場合 AWS Batch、API アクションの名前に次のプレフィックスを使用します `batch:` (例: `batch:SubmitJob`および `batch:CreateComputeEnvironment`)。
単一のステートメントで複数のアクションを指定するには、各アクションをカンマで区切ります。
```
"Action": ["batch:action1", "batch:action2"]
```
またワイルドカード (\$1) を含めて、複数のアクションを指定することもできます。例えば、Describeという単語で始まる名前を用いて、すべてのアクションを指定できます。
```
"Action": "batch:Describe*"
```
すべての AWS Batch API アクションを指定するには、ワイルドカード (\$1) を含めます。
```
"Action": "batch:*"
```
AWS Batch アクションのリストについては、 *AWS Batch API リファレンス*の[「アクション](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html)」を参照してください。
## の Amazon リソースネーム AWS Batch
各 IAM ポリシーステートメントは、ユーザーがAmazon リソースネーム(ARN)を使用して指定したリソースに適用されます。
Amazon リソースネーム (ARN) には、次の一般的な構文があります:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*service*
サービス (例: `batch`)。
*region*
リソース AWS リージョン の (例: `us-east-2`)。
*アカウント*
AWS アカウント ID。ハイフンなし (例: `123456789012`)。
*resourceType*
リソースの種類 (例: `compute-environment`)。
*resourcePath*
リソースを識別するパス。パスにワイルドカードの(\$1)が使用できます。
AWS Batch API オペレーションは現在、複数の API オペレーションに対するリソースレベルのアクセス許可をサポートしています。詳細については、「[AWS Batch API アクションでサポートされているリソースレベルのアクセス許可](batch-supported-iam-actions-resources.md)」を参照してください。すべてのリソースを指定する場合、または特定の API アクションが ARN をサポートしていない場合は、`Resource` エレメントに (\$1) ワイルドカードを含めます。
```
"Resource": "*"
```
## ユーザーが必要なアクセス許可を持っていることを確認する
IAM ポリシーを本稼働環境に置く前に、そのポリシーがユーザーに対し、特定の API アクションおよび必要なリソースを使用のアクセス許可を付与しているかどうかを確認することをお勧めします。
これを行うには、まずテスト目的のユーザーを作成して、IAM ポリシーをテストユーザーにアタッチします。次に、テストユーザーとしてリクエストを作成します。テストリクエストは、コンソールまたは AWS CLIを使用して行うことができます。
**注記**
[IAM ポリシーシミュレーター](https://policysim.aws.amazon.com/home/index.jsp?#)を使用してポリシーをテストすることもできます。ポリシーシミュレーターの詳細については、*IAM ユーザーガイド*の[IAM ポリシーシミュレーターで作業する](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html)を参照してください。
ポリシーが想定したアクセス許可をユーザーに付与していない場合、または過度に許可されている場合、必要に応じてポリシーを調整できます。必要な結果を得るまで再テストします。
**重要**
ポリシーの変更が反映され、有効になるには数分間かかります。したがって、ポリシーの更新をテストする前に、合格するには、少なくとも5分みておくことをお勧めします。
認可チェックが失敗した場合、リクエストでは診断情報でエンコードされたメッセージが返されます。`DecodeAuthorizationMessage` アクションを使用してメッセージをデコードできます。詳細については、*AWS Security Token Service API リファレンス* の[DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)、および*AWS CLI コマンドリファレンス*の [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html) を参照してください。
# リソース: のポリシーの例 AWS Batch
アカウントのユーザーがアクセスできる呼び出しやリソースを制限する特定の IAM ポリシーを作成できます。このポリシーをユーザーにアタッチできます。
ポリシーをユーザーまたはグループにアタッチすると、ポリシーによって特定リソースについて特定タスクを実行する権限が許可または拒否されます。詳細については、*IAM ユーザーガイド* の [アクセス許可とポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html)を参照してください。カスタム IAM ポリシーを管理および作成する方法については、[IAM ポリシーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html)を参照してください。
以下の例では、ユーザーの AWS Batchに対するアクセス権限を制御するために使用できるポリシーステートメントについて説明しています。
**Topics**
+ [読み取り専用アクセス](iam-example-read-only.md)
+ [リソース: ユーザー、イメージ、権限、ロールを制限する](iam-example-job-def.md)
+ [ジョブ送信の制限](iam-example-restrict-job-submission.md)
+ [ジョブキューを制限する](iam-example-restrict-job-queue.md)
+ [すべての条件が文字列に一致した場合はアクションを拒否する](iam-example-job-def-deny-all-image-logdriver.md)
+ [リソース: いずれかの条件キーが文字列に一致した場合はアクションを拒否する](iam-example-job-def-deny-any-image-logdriver.md)
+ [`batch:ShareIdentifier` 条件キーを使用する](iam-example-share-identifier.md)
+ [で SageMaker AI リソースを管理する AWS Batch](iam-example-full-access-service-environment.md)
+ [リソースタグによるジョブ送信の制限](iam-example-restrict-job-submission-by-tags.md)
# リソース: の読み取り専用アクセス AWS Batch
次のポリシーは、 `Describe`および で始まる名前のすべての AWS Batch API アクションを使用するアクセス許可をユーザーに付与します`List`。
別のステートメントでアクセス権限を付与されない限り、ユーザーにはそのリソースに対してアクションを実行するアクセス権限がありません。デフォルトでは、API アクションを使用する権限は拒否されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# リソース: POSIX ユーザー、Docker イメージ、特権レベル、ジョブ送信のロールを制限する
次のポリシーは、POSIX ユーザーが自身の制限されたジョブ定義のセットを管理することを許可します。
最初と 2 番目のステートメントを使用して、名前が *JobDefA\$1* で始まるジョブ定義を登録および登録解除します。
また、最初のステートメントでは、条件付きコンテキストキーを使用して POSIX ユーザー、特権ステータス、コンテナイメージ値をジョブ定義の `containerProperties` 内に制限します。詳細については、*AWS Batch API リファレンス*の [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) を参照してください。この例では、POSIX ユーザーが `nobody` に設定されている場合にのみ、ジョブ定義を登録できます。特権フラグは `false` に設定されています。最後に、イメージは Amazon ECR レポジトリの `myImage` に設定されています。
**重要**
Docker は、コンテナイメージ内から `user` パラメータをユーザー `uid` に解決します。ほとんどの場合、これはコンテナイメージ内の `/etc/passwd` ファイルにあります。ジョブ定義と関連付けられたすべての IAM ポリシーの両方で直接 `uid` 値を使用することで、この名前解決を回避できます。 AWS Batch API オペレーションおよび `batch:User` IAM 条件キーのいずれにおいても、数値がサポートされます。
3 番目のステートメントを使用して、ジョブ定義を特定のロールのみに制限します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# リソース: ジョブ送信時、ジョブ定義プレフィックスを制限する
次のポリシーを使用して、*JobDefA* で始まるすべてのジョブ定義のジョブキューにジョブを送信します。
**重要**
ジョブ送信へのリソースレベルアクセスに絞り込む場合、ジョブキューおよびジョブ定義の両方のリソースタイプを指定する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# リソース: ジョブキューを制限する
次のポリシーを使用して、任意のジョブ定義名で **queue1** という名前の特定のジョブキューへのジョブの送信をユーザーに許可します。
**重要**
ジョブ送信へのリソースレベルアクセスに絞り込む場合、ジョブキューおよびジョブ定義の両方のリソースタイプを指定する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# すべての条件が文字列に一致した場合はアクションを拒否する
次のポリシーは、 `batch:Image` (コンテナイメージ ID) 条件キーが*「string1*」と `batch:LogDriver` (コンテナログドライバー) 条件キーが*「string2*」の両方の場合、[https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API AWS Batch オペレーションへのアクセスを拒否します。 は各コンテナの条件キーを評価します。マルチノード並列ジョブのように、ジョブが複数のコンテナにまたがる場合、コンテナの構成が異なる可能性があります。1 つのステートメントで複数の条件キーを評価する場合、条件キーは `AND` ロジックを使用して結合されます。そのため、1 つのコンテナで複数の条件キーのいずれかが一致しない場合、そのコンテナに `Deny` の効果は適用されません。それどころか、同じジョブ内の別のコンテナが拒否される可能性があります。
の条件キーのリストについては AWS Batch、*「サービス認可リファレンス*」の「 [の条件キー AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys)」を参照してください。この方法は、`batch:ShareIdentifier` を除くすべての `batch` 条件キーで使用できます。`batch:ShareIdentifier` 条件キーは、ジョブ定義ではなく、ジョブに対して定義されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# リソース: いずれかの条件キーが文字列に一致した場合はアクションを拒否する
次のポリシーは、`batch:Image` (コンテナイメージ ID) 条件キーが "*string1*" または `batch:LogDriver` (コンテナログドライバー) 条件キーが "*string2*" の場合、[https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) API オペレーションへのアクセスを拒否します。マルチノード並列ジョブのように、ジョブが複数のコンテナにまたがる場合、コンテナの構成が異なる可能性があります。1 つのステートメントで複数の条件キーを評価する場合、条件キーは `AND` ロジックを使用して結合されます。そのため、1 つのコンテナで複数の条件キーのいずれかが一致しない場合、そのコンテナに `Deny` の効果は適用されません。それどころか、同じジョブ内の別のコンテナが拒否される可能性があります。
の条件キーのリストについては AWS Batch、*「サービス認可リファレンス*」の「 [の条件キー AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys)」を参照してください。この方法は、`batch:ShareIdentifier` を除くすべての `batch` 条件キーで使用できます。(`batch:ShareIdentifier` 条件キーは、ジョブ定義ではなく、ジョブに対して定義されます)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# リソース: `batch:ShareIdentifier` 条件キーを使用する
次のポリシーを使用して、`jobDefA` ジョブ定義を使用するジョブを `lowCpu` 配分識別子で `jobqueue1` ジョブキューに送信します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# で SageMaker AI リソースを管理する AWS Batch
このポリシーにより、 AWS Batch は SageMaker AI リソースを管理できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# リソース: ジョブ定義とジョブキューのリソースタグによってジョブ送信を制限する
ジョブキューに タグがあり、ジョブ定義`Environment=dev`に タグがある場合にのみ、次のポリシーを使用してジョブを送信します`Project=calc`。このポリシーは、リソースタグを使用して、ジョブの送信中に AWS Batch リソースへのアクセスを制御する方法を示しています。
**重要**
ジョブ定義リソースタグを評価するポリシーを使用してジョブを送信する場合は、ジョブ定義リビジョン形式 () を使用してジョブを送信する必要があります`job-definition:revision`。リビジョンを指定せずにジョブを送信した場合、ジョブ定義タグは評価されず、意図したアクセスコントロールがバイパスされる可能性があります。リソース ARN の`*:*`パターンでは、送信にリビジョンを含める必要があるため、タグポリシーを常に効果的に適用できます。
このポリシーは、異なるリソースタイプに異なるタグ条件を適用するため、2 つの異なるステートメントを使用します。ジョブ送信へのリソースレベルアクセスに絞り込む場合、ジョブキューおよびジョブ定義の両方のリソースタイプを指定する必要があります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# リソース: AWS Batch 管理ポリシー
AWS Batch には、ユーザーにアタッチできる管理ポリシーが用意されています。このポリシーは、 AWS Batch リソースと API オペレーションを使用するアクセス許可を提供します。このポリシーを直接適用することも、独自のポリシーを作成する開始点として使用することもできます。これらのポリシーに記載されている各 API オペレーションの詳細については、*AWS Batch API リファレンス*の[アクション](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html)を参照してください。
## AWSBatchFullAccess
このポリシーは、 へのフル管理者アクセスを許可します AWS Batch。
ポリシーの JSON を表示するには、「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)」の「[AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)」を参照してください。