Directory Serviceリソースへのアクセス許可の管理の概要 - AWS Directory Service
Directory Serviceリソースとオペレーションリソース所有権についての理解リソースへのアクセスの管理ポリシー要素の指定: アクション、効果、リソース、プリンシパルポリシーでの条件を指定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Directory Serviceリソースへのアクセス許可の管理の概要

すべてのAWSリソースは AWSアカウントによって所有されます。結果として、リソースを作成またはアクセスするためのアクセス権限は、アクセス許可ポリシーで管理されます。ただし、管理者権限を持つユーザーであるアカウント管理者は、リソースにアクセス権限を付加できます。には、ユーザー、グループ、ロールなどの IAM ID にアクセス許可ポリシーをアタッチする機能もあります。また、 などの一部のサービスでは、リソースへのアクセス許可ポリシーのアタッチAWS Lambdaもサポートされています。

注記

アカウント管理者ロールの詳細については、「IAM ユーザーガイド」の「IAM ベストプラクティス」を参照してください。

Directory Serviceリソースとオペレーション

ではDirectory Service、プライマリリソースは ディレクトリです。Directory Service はディレクトリスナップショットリソースをサポートしているため、スナップショットは既存のディレクトリのコンテキストのみで作成できます。このスナップショットは、サブリソースと呼ばれます。

これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ ARN 形式

ディレクトリ

arn:aws:ds:region:account-id:directory/external-directory-id

Snapshot

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

Directory Serviceには、実行するオペレーションのタイプに基づいて 2 つのサービス名前空間が含まれています。

  • ds サービスネームスペースには、適切なリソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「Directory Service のアクション」を参照してください。

  • ds-data サービスネームスペースは、Active Directory オブジェクトに一連のオペレーションを提供します。使用可能なオペレーションのリストについては、「Directory Service Data API Reference」を参照してください。

リソース所有権についての理解

リソース所有者は、リソースを作成したAWSアカウントです。つまり、リソース所有者は、リソースを作成するリクエストを認証するプリンシパルエンティティ (ルートアカウント、IAM ユーザー、または IAM ロール) のAWSアカウントです。次の例は、この仕組みを示しています。

  • AWSアカウントのルートアカウントの認証情報を使用してディレクトリなどの Directory Serviceリソースを作成する場合、AWSアカウントはそのリソースの所有者です。

  • AWSアカウントに IAM ユーザーを作成し、そのユーザーにDirectory Serviceリソースを作成するアクセス許可を付与する場合、そのユーザーはリソースを作成Directory Serviceすることもできます。ただし、ユーザーが属する AWSアカウントがリソースを所有します。

  • Directory Serviceリソースを作成するアクセス許可を持つ IAM ロールをAWSアカウントに作成する場合、ロールを引き受けることができるすべてのユーザーがリソースを作成できますDirectory Service。ロールが属するAWSアカウントがリソースを所有しますDirectory Service。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、 のコンテキストでの IAM の使用について説明しますDirectory Service。ここでは、IAM サービスに関する詳細情報を提供しません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「IAM とは?」を参照してください。IAM ポリシー構文と記述の説明については、「IAM ユーザーガイド」の「IAM JSON ポリシーリファレンス」を参照してください。

IAM アイデンティティにアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 はアイデンティティベースのポリシー (IAM ポリシー) のみDirectory Serviceをサポートします。

アイデンティティベースのポリシー (IAM ポリシー)

ポリシーを IAM アイデンティティにアタッチできます。例えば、次のオペレーションを実行できます。

  • アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられているアクセス許可ポリシーを使用して、そのユーザーに新しいディレクトリなどの Directory Serviceリソースを作成するアクセス許可を付与できます。

  • アクセス権限ポリシーをロールにアタッチする (クロスアカウントの許可を付与) - ID ベースのアクセス権限ポリシーを IAM ロールにアタッチして、クロスアカウントの権限を付与することができます。

    IAM を使用したアクセス許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。

次のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリやスナップショットなどの Directory Serviceリソースに関する情報を表示します。Resource 要素のワイルドカード文字 (*) は、アカウントが所有するすべてのDirectory Serviceリソースに対してアクションが許可されていることを示します。

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

でのアイデンティティベースのポリシーの使用の詳細についてはDirectory Service、「」を参照してくださいでのアイデンティティベースのポリシー (IAM ポリシー) の使用Directory Service。ユーザー、グループ、ロール、アクセス権限の詳細については、「IAM ユーザーガイド」の「ID (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

Amazon S3 などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。たとえば、ポリシーを S3 バケットにアタッチして、そのバケットへのアクセス許可を管理できます。 Directory Serviceはリソースベースのポリシーをサポートしていません。

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

サービスは、Directory Serviceリソースごとに一連の API オペレーションを定義します。詳細については、「Directory Serviceリソースとオペレーション」を参照してください。使用可能な API オペレーションのリストについては、「Directory Service のアクション」を参照してください。

これらの API オペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクションDirectory Serviceを定義します。API オペレーションを実行する場合には、複数のアクションに対するアクセス許可が必要になることがあります。

以下は、基本的なポリシーの要素です。

  • リソース – ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。Directory Serviceリソースの場合、IAM ポリシーでは常にワイルドカード文字 (*) を使用します。詳細については、「Directory Serviceリソースとオペレーション」を参照してください。

  • [Action] (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、ds:DescribeDirectories 権限は、Directory ServiceDescribeDirectories オペレーションの実行をユーザーに許可します。

  • [Effect] (効果) - ユーザーが特定のアクションをリクエストする時の効果を指定します。これは許可または拒否とすることができます。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル – ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用されます)。 Directory Serviceはリソースベースのポリシーをサポートしていません。

IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「IAM JSON ポリシーリファレンス」を参照してください。

すべての Directory ServiceAPI アクションとそれらが適用されるリソースを示す表については、「」を参照してくださいDirectory ServiceAPI アクセス許可: アクション、リソース、および条件リファレンス

ポリシーでの条件を指定する

アクセス許可を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。Directory Service に固有の条件キーはありません。ただし、必要に応じて使用できるAWS条件キーがあります。AWSキーの完全なリストについては、IAM ユーザーガイド「利用可能なグローバル条件キー」を参照してください。