翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要
<a name="security-iam-accesscontrol"></a>

アクションへのアクセスは、アクセス許可ポリシーによって管理されます。アカウント管理者は、IAM アイデンティティにアクセス許可ポリシーをアタッチして、アクションへのアクセスを管理します。IAM アイデンティティには、ユーザー、グループ、およびロールが含まれます。

**注記**  
*アカウント管理者* (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「*IAM ユーザーガイド*」の「[IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

アクセス許可を付与するときは、アクセス許可を付与するユーザーとアクションの両方を決定します。

**Topics**
+ [アクションへのアクセスの管理](#access-control-manage-access-intro-med)
+ [ポリシー要素 (アクション、効果、プリンシパル) の指定](#access-control-specify-comprehend-actions-med)
+ [ポリシーの条件の指定](#specifying-conditions-med)

## アクションへのアクセスの管理
<a name="access-control-manage-access-intro-med"></a>



アクセスポリシー**は、誰が何に対するアクセス権を持っているのかを説明します。以下のセクションで、アクセス許可ポリシーのオプションについて説明します。

**注記**  
このセクションでは、Amazon Comprehend Medical のコンテキストで IAM について説明します。ここでは、IAM サービスに関する詳細情報を提供しません。IAM の詳細については、IAM ユーザーガイドの「[IAM とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。**IAM ポリシー構文の詳細と説明については、「IAM ユーザーガイド」の「[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。**

IAM アイデンティティにアタッチされたポリシーは、アイデンティティベースのポリシーです。**リソースにアタッチされたポリシーは、リソースベースのポリシーです。**Amazon Comprehend Medical では、アイデンティティベースのポリシーのみがサポートされています。

### アイデンティティベースのポリシー (IAM ポリシー）
<a name="access-control-manage-access-intro-iam-policies-med"></a>

ポリシーを IAM アイデンティティにアタッチできます。これらはその 2 つの例です。
+ **アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする**。ユーザーまたはユーザーのグループが Amazon Comprehend Medical アクションを呼び出すことができるようにするには、アクセス許可ポリシーをユーザーにアタッチします。ユーザーが含まれているグループにポリシーをアタッチします。
+ **ロールにアクセス許可ポリシーをアタッチし、クロスアカウントのアクセス許可を付与する** クロスアカウントのアクセス許可を付与するには、アイデンティティベースのポリシーを IAM ロールにアタッチします。例えば、アカウント A の管理者は、別のアカウントにクロスアカウントのアクセス許可を付与するロールを作成できます。この例では、これをアカウント B と呼んでおり、AWS サービスにすることもできます。

  1. アカウント A の管理者は、IAM ロールを作成し、そのロールに、アカウント A のリソースに対するアクセス許可を付与するポリシーをアタッチします。

  1. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。

  1. アカウント B の管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できるようになります。これにより、アカウント B のユーザーにアカウント A のリソースの作成またはアクセスが許可されます。ロールを引き受けるアクセス許可を AWS のサービスに付与すると、信頼ポリシーのプリンシパルは AWS のサービスのプリンシパルになることもできます。

  IAM を使用した許可の委任の詳細については、「IAM ユーザーガイド」の「[アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。

Amazon Comprehend Medical でアイデンティティベースのポリシーを使用する場合の詳細については、「[Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用](security-iam-permissions.md)」を参照してください。ユーザー、グループ、ロール、許可の詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」の「*アイデンティティ (ユーザー、グループ、ロール)*」を参照してください。

### リソースベースのポリシー
<a name="access-control-manage-access-intro-resource-policies-med"></a>

などの他の サービスは AWS Lambda、リソースベースのアクセス許可ポリシーをサポートしています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Comprehend Medical では、リソースベースのポリシーはサポートされていません。

## ポリシー要素 (アクション、効果、プリンシパル) の指定
<a name="access-control-specify-comprehend-actions-med"></a>

Amazon Comprehend Medical では、一連の API オペレーションを定義します。これらの API オペレーションへのアクセス許可を付与するために、Amazon Comprehend Medical では、ポリシーに指定できる一連のアクションを定義します。

以下の 4 つの項目は、最も基本的なポリシー要素です。
+ **リソース** – ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。Amazon Comprehend Medical の場合、リソースは常に `"*"` です。
+ **アクション** – アクションのキーワードを使用して、許可または拒否するオペレーションを識別します。例えば、指定した効果に応じて、`comprehendmedical:DetectEntities` は Amazon Comprehend Medical `DetectEntities` オペレーションを実行するためのアクセス許可をユーザーに付与または拒否します。
+ **効果** - ユーザーが特定のアクションをリクエストしたときに起きるアクションの効果 (許可または拒否のいずれか) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。リソースへのアクセスを明示的に拒否することもできます。これにより、別のポリシーでアクセスが許可されている場合でも、ユーザーがリソースにアクセスすることを禁止できます。
+ **プリンシパル** - アイデンティティベースのポリシーで、ポリシーがアタッチされているユーザーが黙示のプリンシパルになります。

IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。**

すべての Amazon Comprehend Medical API アクションを示す表については、「[Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス](security-iam-resources.md)」を参照してください。

## ポリシーの条件の指定
<a name="specifying-conditions-med"></a>

アクセス許可を付与するときに、IAM ポリシー言語を使用してポリシーの適用条件を指定します。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)」を参照してください。

AWS では、IAM をサポートする AWS のすべてのサービスについて、アクセスコントロール用の条件キーのセットが事前に定義されています。たとえば、`aws:userid` 条件キーを使用して、アクションのリクエスト時に特定の AWS ID を要求できます。AWS キーの詳細およびすべての AWS キーのリストについては、IAM ユーザーガイドの「[使用可能な条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。**

Amazon Comprehend Medical では、追加の条件キーが提供されません。