Amazon Fraud Detector で IAM が機能する仕組み - Amazon Fraud Detector
Amazon Fraud Detector のアイデンティティベースポリシーAmazon Fraud Detector のリソースベースのポリシーAmazon Fraud Detector タグに基づく認可Amazon Fraud Detector IAM ロール

Amazon Fraud Detector は、2025 年 11 月 7 日をもって新規顧客に公開されなくなりました。Amazon Fraud Detector と同様の機能については、Amazon SageMaker、AutoGluon、および を参照してくださいAWS WAF。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Fraud Detector で IAM が機能する仕組み

IAM を使用して Amazon Fraud Detector へのアクセスを管理する前に、Amazon Fraud Detector で使用できる IAM 機能について理解しておく必要があります。Amazon Fraud Detector およびその他の AWSのサービスが IAM と連携する方法の概要を把握するには、IAM ユーザーガイドAWS「IAM と連携する のサービス」を参照してください。

Amazon Fraud Detector のアイデンティティベースポリシー

IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Fraud Detector は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。

Amazon Fraud Detector の使用を開始するには、Amazon Fraud Detector オペレーションと必要なアクセス許可に制限されたアクセス権限を持つ ユーザーを作成することをお勧めします。必要に応じて他のアクセス許可を追加できます。AmazonFraudDetectorFullAccessPolicy および AmazonS3FullAccess のポリシーは、Amazon Fraud Detector を使用するために必要なアクセス許可を示します。これらのポリシーを使用した Amazon Fraud Detector の設定の詳細については、「Amazon Fraud Detector のセットアップ」を参照してください。

アクション

管理者は JSON AWSポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon Fraud Detector のポリシーアクションは、アクションの前にプレフィックス frauddetector: を使用します。例えば、Amazon Fraud Detector CreateRule API オペレーションを使用してデータセットを作成するには、ポリシーに frauddetector:CreateRule アクションを含めます。ポリシーステートメントにはAction または NotAction 要素を含める必要があります。Amazon Fraud Detector は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

"Action": [
      "frauddetector:action1",
      "frauddetector:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

"Action": "frauddetector:Describe*"

Amazon Fraud Detector アクションのリストを確認するには、IAM ユーザーガイドの「Amazon Fraud Detector で定義されるアクション」を参照してください。

リソース

管理者は JSON AWSポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Amazon Fraud Detector で定義されるリソースタイプは、すべての Amazon Fraud Detector リソース ARN をリストしています。

例えば、ステートメントで my_detector ディテクターを指定するには、次の ARN を使用します。

"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/my_detector"

ARN の形式の詳細については、「Amazon リソースネーム (ARNsAWS「サービス名前空間」を参照してください。

特定のアカウントに属するすべてのディテクターを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/*"

リソースを作成するためのアクションなど、Amazon Fraud Detector アクションには特定のリソースで実行できないものがあります。このような場合はワイルドカード *を使用する必要があります。

"Resource": "*"

Amazon Fraud Detector のリソースタイプとそれらの ARN のリストを確認するには、IAM ユーザーガイドの「Amazon Fraud Detector で定義されるリソースタイプ」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「Amazon Fraud Detector で定義されるアクション」を参照してください。

条件キー

管理者は JSON AWSポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの条件演算子を使用して条件式を作成し、ポリシーの条件とリクエスト内の値を一致させることができます。すべてのAWSグローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS「グローバル条件コンテキストキー」を参照してください。

Amazon Fraud Detector では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべてのAWSグローバル条件キーを確認するには、IAM ユーザーガイドAWS「グローバル条件コンテキストキー」を参照してください。

Amazon Fraud Detector 条件キーのリストについては、IAM ユーザーガイドの「Amazon Fraud Detector の条件キー」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「Amazon Fraud Detector で定義されるアクション」を参照してください。

Amazon Fraud Detector のアイデンティティベースポリシーの例を確認するには、「Amazon Fraud Detector のアイデンティティベースポリシーの例」を参照してください。

Amazon Fraud Detector のリソースベースのポリシー

Amazon Fraud Detector では、 リソースベースのポリシーはサポートされていません。

Amazon Fraud Detector タグに基づく認可

タグは、Amazon Fraud Detector リソースにアタッチする、または Amazon Fraud Detector へのリクエストで渡すことができます。タグに基づいてアクセスを管理するには、aws:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。

Amazon Fraud Detector IAM ロール

IAM ロールは、特定のアクセス許可を持つAWSアカウント内のエンティティです。

Amazon Fraud Detector での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRoleGetFederationToken などの AWS STSAPI オペレーションを呼び出します。

Amazon Fraud Detector は一時的な認証情報の使用をサポート

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWSサービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Fraud Detector は、サービスにリンクされたロールをサポートしていません。

サービス役割

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは、 アカウントに表示され、サービスによって所有されます。つまり、 管理者は、このロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Amazon Fraud Detector は、サービスロールをサポートしています。