AWS CloudHSM のためのアイデンティティおよびアクセス管理
AWS ではセキュリティ認証情報を使用して、ユーザーを識別し、AWS リソースへのアクセスを付与します。AWS Identity and Access Management (IAM) の機能を使用して、他のユーザー、サービス、およびアプリケーションが完全に、または制限付きで AWS リソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。
デフォルトでは、IAM ユーザーには、AWS リソースを作成、表示、変更するためのアクセス権限はありません。ロードバランサーなどのリソースにアクセスすること、およびタスクを実行することを IAM ユーザーに許可するには、次の操作を行います。
-
必要な特定のリソースと API アクションを使用するアクセス許可を IAM ユーザーに付与する IAM ポリシーを作成します。
-
IAM ユーザーまたは IAM ユーザーが属するグループに、ポリシーをアタッチします。
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
たとえば、IAM を使用して、お客様の AWS アカウントでユーザーとグループを作成できます。IAM ユーザーは、人、システム、またはアプリケーションです。その後、ユーザーとグループにアクセス許可を付与すると、IAM ポリシーを使用して指定したリソースに対する特定のアクションを実行できます。
IAM ポリシーを使用したアクセス権限の付与
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
IAM ポリシーは、1 つ、または複数のステートメントで構成される JSON ドキュメントです。
次の IAM ポリシー例では、ユーザーが米国東部 (バージニア北部) で AWS CloudHSM のバックアップを記述できるようにしています。米国東部 (バージニア北部) からのリクエストのみを記述できます。
-
[Effect (効果)] — effect は、
AllowまたはDenyにすることができます。デフォルトでは、IAM ユーザーはリソースおよび API アクションを使用するアクセス許可がないため、リクエストはすべて拒否されます。明示的な許可はデフォルトに優先します。明示的な拒否はすべての許可に優先します。 -
Action (アクション) — action は、アクセス許可を付与または拒否する対象とする、特定の API アクションです。アクション条件を指定する方法については、AWS CloudHSM の API アクション を参照してください。
-
リソース - アクションの影響を受けるリソース。AWS CloudHSM はリソースレベルのアクセス許可をサポートしていません。すべての AWS CloudHSM リソースを指定するには、* ワイルドカードを使用する必要があります。
-
[Condition (条件)] — ポリシーが有効になるタイミングを制御する条件を必要に応じて使用できます。詳細については、「AWS CloudHSM の条件キー」を参照してください。
詳細については、IAM ユーザーガイドを参照してください。
AWS CloudHSM の API アクション
IAM ポリシーステートメントの Action (アクション) 要素では、AWS CloudHSM に用意された API アクションを指定できます。次の例に示すように、アクション名の前に小文字の文字列 cloudhsm: を指定する必要があります。
"Action": "cloudhsm:DescribeClusters"1 つのステートメントで複数のアクションを指定するには、次の例に示すように、アクションをカンマで区切って全体を角括弧で囲みます。
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]ワイルドカード (*) を使用して複数のアクションを指定することもできます。次の例では、AWS CloudHSM で始まる List のすべての API アクション名を指定します。
"Action": "cloudhsm:List*"AWS CloudHSM のすべての API アクションを指定するには、次の例に示すように、ワイルドカード (*) を使用します。
"Action": "cloudhsm:*"AWS CloudHSM の API アクションのリストについては、「AWS CloudHSM のアクション」を参照してください。
AWS CloudHSM の条件キー
ポリシーを作成するときは、ポリシーをいつ有効にするか制御する条件を指定できます。各条件には 1 つ以上のキーと値のペアが含まれます。グローバル条件キーとサービス固有の条件キーがあります。
AWS CloudHSM には、サービス固有のコンテキストキーはありません。
グローバル条件キーの詳細については、IAM ユーザーガイド の AWS global condition context keys を参照してください。
AWS CloudHSM の事前定義の AWS マネージドポリシー
AWS によって作成された管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与します。これらのポリシーを、AWS CloudHSM に対して必要なアクセス権に基づいて IAM ユーザーにアタッチできます。
-
AWSCloudHSMFullAccess - AWS CloudHSM の機能を使用するために必要なフルアクセスを許可します。
-
AWSCloudHSMReadOnlyAccess - AWS CloudHSM の機能への読み取り専用アクセスを許可します。
AWS CloudHSM のカスタマー管理ポリシー
AWS CloudHSM IAM の管理者グループを作成し、AWS CloudHSM の実行に必要な権限のみを含むことが推奨されます。適切なアクセス許可を持つポリシーをこのグループにアタッチします。必要に応じて、IAM ユーザーをグループに追加します。追加する各ユーザーは、管理者グループからポリシーを継承します。
また、ユーザーが必要とする権限に基づいて、追加のユーザーグループを作成することをお勧めします。これにより、信頼されたユーザーのみが重要な API アクションにアクセスできるようになります。たとえば、クラスターと HSM への読み取り専用アクセスを許可するために使用するユーザーグループを作成できます。このグループでは、ユーザーがクラスターまたは HSM を削除できないため、信頼できないユーザーが運用ワークロードの可用性に影響を与えることがありません。
時間とともに新しい AWS CloudHSM 管理機能が追加されるため、信頼されるユーザーにのみ、その場でアクセス権を付与することができます。作成時に、制限付きのアクセス許可をポリシーに割り当てることで、後に新しい機能のアクセス許可を手動でユーザーに割り当てることができます。
以下に AWS CloudHSM に対するポリシー例を示します。ポリシーの作成方法とIAM ユーザーグループへのアタッチ方法の詳細については、IAM ユーザーガイド の 「[JSON] タブでのポリシーの作成 」を参照してください。
例: 読み取り専用アクセス許可
このポリシーでは、DescribeClusters および DescribeBackups API アクションへのアクセスを許可します。また、このポリシーには、特定の Amazon EC2 API アクションのアクセス許可が含まれています。このポリシーでは、ユーザーはクラスターまたは HSM を削除することはできません。
例: パワーユーザーのアクセス許可
このポリシーでは、AWS CloudHSM API アクションのサブセットへのアクセスを許可します。また、このポリシーには特定の Amazon EC2 アクションのアクセス許可が含まれています。このポリシーでは、ユーザーはクラスターまたは HSM を削除することはできません。自分のアカウントで、iam:CreateServiceLinkedRole が AWSServiceRoleForCloudHSM サービスにリンクされたロールを自動的に作成できるようにするには、AWS CloudHSM アクションを含める必要があります。このロールでは、AWS CloudHSM でイベントをログ記録することができます。詳細については、「AWS CloudHSM のサービスにリンクされたロール」を参照してください。
注記
各 API の特定の権限を確認するには、「サービス認可リファレンスAWS CloudHSM」の「 のアクション、リソース、および条件キー」を参照してください。
例: 管理者権限
このポリシーでは、HSM およびクラスターを削除するアクションを含む、すべての AWS CloudHSM API アクションへのアクセスを許可します。また、このポリシーには特定の Amazon EC2 アクションのアクセス許可が含まれています。自分のアカウントで、iam:CreateServiceLinkedRole が AWSServiceRoleForCloudHSM サービスにリンクされたロールを自動的に作成できるようにするには、AWS CloudHSM アクションを含める必要があります。このロールでは、AWS CloudHSM でイベントをログ記録することができます。詳細については、「AWS CloudHSM のサービスにリンクされたロール」を参照してください。
