翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Chime SDK アイデンティティベースのポリシーの例
デフォルトでは、IAM ユーザーとロールには Amazon Chime SDK リソースを作成または変更するアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
これらの JSON ポリシードキュメント例を使用して IAM のアイデンティティベースのポリシーを作成する方法については、『*IAM ユーザーガイド*』の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](security_iam_service-with-iam-policy-best-practices.md)
+ [AWS マネージド Amazon Chime SDK ポリシー](security_iam_id-based-policy-examples-chime-sdk.md)
+ [AWS 管理ポリシー: AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md)
+ [AWS 管理ポリシー: AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md)
+ [AWS マネージドポリシーに対する Amazon Chime の更新](security-iam-awsmanpol-updates.md)
# ポリシーに関するベストプラクティス
アイデンティティベースポリシーは非常に強力です。アカウント内で誰かが Amazon Chime SDK リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーの使用を開始する** – Amazon Chime SDK の使用をすばやく開始するには、 AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントで既に有効になっており、 AWSによって管理および更新されています。詳細については、*IAM* [ユーザーガイドの「 AWS 管理ポリシーでアクセス許可の使用を開始する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)」を参照してください。
+ **最小特権を付与する** - カスタムポリシーを作成するときは、タスクの実行に必要な許可のみを付与します。最小限の許可からスタートし、必要に応じて追加の許可を付与します。この方法は、寛容過ぎる許可から始めて、後から厳しくしようとするよりも安全です。詳細については、*IAM ユーザーガイド*の「[最小特権を認める](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)」を参照してください。
+ **機密性の高いオペレーションに MFA を有効にする** - 追加セキュリティとして、機密性の高いリソースまたは API オペレーションにアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、*IAM ユーザーガイド*の「[AWSでの多要素認証 (MFA) の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
+ **追加のセキュリティとしてポリシー条件を使用する** - 実行可能な範囲内で、アイデンティティベースのポリシーがリソースへのアクセスを許可する条件を定義します。例えば、あるリクエストの送信が許可される IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。詳細については、*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
# AWS マネージド Amazon Chime SDK ポリシー
AWS マネージド を使用して`AmazonChimeVoiceConnectorServiceLinkedRolePolicy`、ユーザーに Amazon Chime SDK アクションへのアクセスを許可します。詳細については、*「Amazon Chime SDK デベロッパーガイド*」の[「IAM ロールの例](https://docs.aws.amazon.com/chime/latest/dg/iam-roles.html)」および*「サービス認可リファレンス*」の[「Amazon Chime のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonchime.html)」を参照してください。
```
// Policy ARN: arn:aws:iam::aws:policy/AmazonChimeSDK
// Description: Provides access to Amazon Chime SDK operations
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"chime:CreateMediaCapturePipeline",
"chime:CreateMediaConcatenationPipeline",
"chime:CreateMediaLiveConnectorPipeline",
"chime:CreateMeeting",
"chime:CreateMeetingWithAttendees",
"chime:DeleteMediaCapturePipeline",
"chime:DeleteMediaPipeline",
"chime:DeleteMeeting",
"chime:GetMeeting",
"chime:ListMeetings",
"chime:CreateAttendee",
"chime:BatchCreateAttendee",
"chime:DeleteAttendee",
"chime:GetAttendee",
"chime:GetMediaCapturePipeline",
"chime:GetMediaPipeline",
"chime:ListAttendees",
"chime:ListAttendeeTags",
"chime:ListMediaCapturePipelines",
"chime:ListMediaPipelines",
"chime:ListMeetingTags",
"chime:ListTagsForResource",
"chime:StartMeetingTranscription",
"chime:StopMeetingTranscription",
"chime:TagAttendee",
"chime:TagMeeting",
"chime:TagResource",
"chime:UntagAttendee",
"chime:UntagMeeting",
"chime:UntagResource"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# AWS 管理ポリシー: AmazonChimeVoiceConnectorServiceLinkedRolePolicy
`AmazonChimeVoiceConnectorServiceLinkedRolePolicy` により、Amazon Chime SDK Voice Connector は Amazon Kinesis Video Streams にメディアをストリーミングし、ストリーミング通知を提供し、Amazon Polly を使用して音声を合成できます。このポリシーは、Amazon Chime SDK Voice Connector サービスに、お客様の Amazon Kinesis Video Streams にアクセスし、Amazon Simple Notification Service (SNS) と Amazon Simple Queue Service (SQS) に通知イベントを送信し、Amazon Polly を使用して Amazon Chime SDK Voice アプリケーション`Speak`と`SpeakAndGetDigits`アクションを使用するときに音声を合成するアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["chime:GetVoiceConnector*"],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:PutMedia",
"kinesisvideo:UpdateDataRetention",
"kinesisvideo:DescribeStream",
"kinesisvideo:CreateStream"
],
"Resource": ["arn:aws:kinesisvideo:*:*:stream/ChimeVoiceConnector-*"]
},
{
"Effect": "Allow",
"Action": ["kinesisvideo:ListStreams"],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": ["SNS:Publish"],
"Resource": ["arn:aws:sns:*:*:ChimeVoiceConnector-Streaming*"]
},
{
"Effect": "Allow",
"Action": ["sqs:SendMessage"],
"Resource": ["arn:aws:sqs:*:*:ChimeVoiceConnector-Streaming*"]
},
{
"Effect": "Allow",
"Action": ["polly:SynthesizeSpeech"],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": [
"chime:CreateMediaInsightsPipeline",
"chime:GetMediaInsightsPipelineConfiguration"
],
"Resource": ["*"]
}
]
}
```
------
詳細については、「[Amazon Chime SDK Voice Connector サービスにリンクされたロールポリシーの使用](using-service-linked-roles-stream.md)」を参照してください。
# AWS 管理ポリシー: AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy
IAM エンティティに `AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy` をアタッチすることはできません。
このポリシーにより、Kinesis Video Streams は Amazon Chime SDK 会議にデータをストリーミングし、CloudWatch にメトリクスを発行できます。また、Amazon Chime SDK メディアパイプラインがユーザーに代わって Amazon Chime SDK 会議にアクセスすることを許可します。詳細については、このガイドの「[Amazon Chime SDK メディアパイプラインでのロールの使用](using-service-linked-roles-media-pipeline.md)」を参照してください。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `cloudwatch` – CloudWatch メトリクスを配置するアクセス許可を付与します。
+ `kinesisvideo` – データエンドポイントの取得、メディアの配置、データ保持間隔の更新、データストリームの説明、データストリームの作成、データストリームのリスト化を行うアクセス許可を付与します。
+ `chime` – 会議の取得、参加者の作成、参加者の削除を行うアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutMetricsForChimeSDKNamespace",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/ChimeSDK"
}
}
},
{
"Sid": "AllowKinesisVideoStreamsAccess",
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:PutMedia",
"kinesisvideo:UpdateDataRetention",
"kinesisvideo:DescribeStream",
"kinesisvideo:CreateStream"
],
"Resource": [
"arn:aws:kinesisvideo:*:*:stream/ChimeMediaPipelines-*"
]
},
{
"Sid": "AllowKinesisVideoStreamsListAccess",
"Effect": "Allow",
"Action": [
"kinesisvideo:ListStreams"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowChimeMeetingAccess",
"Effect": "Allow",
"Action": [
"chime:GetMeeting",
"chime:CreateAttendee",
"chime:DeleteAttendee"
],
"Resource": "*"
}
]
}
```
------
# AWS マネージドポリシーに対する Amazon Chime の更新
次の表は、Amazon Chime SDK IAM ポリシーに加えられた更新の一覧と説明です。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md) – 既存ポリシーの更新 | Amazon Chime SDK 会議が CloudWatch にメトリクスを発行してサービスダッシュボードで使用できるようにするアクセス許可`AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy`が追加されました。詳細については、「[Amazon Chime SDK メディアパイプラインでのロールの使用](using-service-linked-roles-media-pipeline.md)」を参照してください。 | 2023 年 12 月 8 日 |
| [AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md) – 既存ポリシーの更新 | Kinesis Video Streams がオーディオ、ビデオ、画面共有データを Amazon Chime SDK 会議にストリーミングできるようにするアクセス許可`AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy`が追加されました。詳細については、「[Amazon Chime SDK メディアパイプラインでのロールの使用](using-service-linked-roles-media-pipeline.md)」を参照してください。 | 2023 年 8 月 20 日 |
| [AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md) – 既存ポリシーへの更新 | [https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_GetMediaInsightsPipelineConfiguration.html](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_GetMediaInsightsPipelineConfiguration.html) API へのアクセスを許可するアクセス許可`AmazonChimeVoiceConnectorServiceLinkedRolePolicy`が追加されました。Amazon Chime Voice Connector では、メディアインサイトパイプライン設定を取得するためにこれらのアクセス許可が必要です。詳細については、「[通話分析を使用するように Voice Connector を設定する](configure-voicecon.md)」を参照してください。 | 2023 年 4 月 14 日 |
| 新規および更新されたサービスにリンクされたロール | 開発者は AmazonChimeSDKEvents サービスにリンクされたロールを使用して、Kinesis Firehose などのストリーミングサービスにアクセスできます。詳細については、[AmazonChimeSDKEvents「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/chime-sdk/latest/ag/analytics-service-role.html)」を参照してください。また、[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/chime-sdk/latest/dg/using-service-linked-roles.html)」にも[AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md)名前を追加しました。詳細については、[「 の使用AmazonChimeVoiceConnectorServiceLinkedRolePolicy](https://docs.aws.amazon.com/chime-sdk/latest/dg/using-service-linked-roles-stream.html)」を参照してください。 | 2023 年 3 月 27 日 |
| Amazon Chime SDK アイデンティティベースのポリシーの例 – 既存のポリシーの更新。 | [AWS マネージド **Amazon Chime SDK** ポリシー](security_iam_id-based-policy-examples-chime-sdk.md)に、[Amazon Chime SDK Media Pipeline](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_Operations_Amazon_Chime_SDK_Media_Pipelines.html) APIs を使用してメディアパイプラインを作成、読み取り、削除できるアクセス許可が追加されました。 | 2023 年 1 月 5 日 |
| [AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md) - 新しい マネージドポリシーを追加しました。 | Amazon Chime SDK は、Amazon Chime SDK ミーティングでメディアキャプチャパイプラインを使用できるようにするサービスにリンクされたロールを追加しました。 | 2022 年 4 月 27 日 |
| [AWS 管理ポリシー: AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md) – 既存のポリシーを更新します。 | Amazon Chime SDK Voice Connector にAmazon Polly を使用して音声を合成するためのアクセス許可が追加されました。これらのアクセス許可は、Amazon Chime SDK Voice Applications で `Speak` および `SpeakAndGetDigits`アクションを使用するために必要です。 | 2022 年 3 月 15 日 |
| [AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md) – 既存ポリシーへの更新 | Amazon Chime SDK Voice Connector は、Amazon Kinesis Video Streams へのアクセスを許可し、Amazon Simple Notification Service (Amazon SNS) と Amazon Simple Query Service (Amazon SQS) に通知イベントを送信するアクセス許可を追加しました。これらのアクセス許可は、Amazon Chime SDK Voice Connector が Amazon Kinesis Video Streams にメディアをストリーミングし、ストリーミング通知を提供するために必要です。 | 2021 年 12 月 20 日 |
| 既存のポリシー関する変更。[Amazon Chime SDK ポリシーを使用した IAM ユーザーまたはロールの作成](https://docs.aws.amazon.com/chime/latest/dg/iam-users-roles.html)。 | Amazon Chime SDK は、拡張検証をサポートする新しいアクションを追加しました。 出席者と会議リソースの一覧表示とタグ付けが可能になり、会議の文字起こしを開始および停止するためのアクションが追加されました。 | 2021 年 9 月 23 日 |
| Amazon Chime SDK が変更の追跡を開始しました | Amazon Chime SDK は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 9 月 23 日 |