翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Lightsail と IAM の連携方法
Lightsail へのアクセスを管理するために IAM を使用する前に、Lightsail でどの IAM特徴が使用できるかを理解しておく必要があります。Lightsail およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Lightsail アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。Lightsail は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Lightsail のポリシーアクションは、アクションの前に次のプレフィックスを使用します: `lightsail:`。たとえば、Lightsail `CreateInstances` API オペレーションで Lightsail インスタンスを実行するためのアクセス許可をユーザーに付与するには、ポリシーに `lightsail:CreateInstances` アクションを含めます。ポリシーステートメントには、`Action` 要素または `NotAction` 要素のいずれかを含める必要があります。 Lightsail は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。
単一のステートメントに複数のアクションを指定するには、次のようにカンマで区切ります。
```
"Action": [
"lightsail:action1",
"lightsail:action2"
```
ワイルドカード (\*) を使用して複数アクションを指定できます。例えば、`Create` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
```
"Action": "lightsail:Create*"
```
Lightsail アクションのリストを表示するには、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions)の*Amazon Lightsail によって定義されたアクション*を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\*) を使用します。
```
"Resource": "*"
```
**重要**
Lightsail は API アクションによっては、リソースレベルのアクセス許可をサポートしません。詳細については、「[リソースレベルのアクセス許可およびタグに基づく承認のサポート](resource-level-permissions-and-auth-based-on-tags-support.md)」を参照してください。
Lightsail インスタンスリソースには次のような ARN があります。
```
arn:${Partition}:lightsail:${Region}:${Account}:Instance/${InstanceId}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `ea123456-e6b9-4f1d-b518-3ad1234567e6` インスタンスを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/ea123456-e6b9-4f1d-b518-3ad1234567e6"
```
特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (\*) を使用します。
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/*"
```
リソースを作成するためのアクションなど、一部の Lightsail アクションは、特定のリソースでは実行できません。このような場合は、ワイルドカード \*を使用する必要があります。
```
"Resource": "*"
```
Lightsail API アクションの多くが複数のリソースと関連します。たとえば、`AttachDisk` では Lightsail ブロックストレージディスクをインスタンスにアタッチするため、IAM ユーザーにはディスクおよびインスタンスを使用するアクセス許可が必要になります。複数のリソースを単一のステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
Lightsail リソースタイプとその ARN のリストを表示するには、*IAM ユーザーガイド*の[Amazon Lightsail で定義されるリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-resources-for-iam-policies)を参照してください。どのアクションで各リソースの ARN を指定できるかについては、[Amazon Lightsail で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions)を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Lightsail にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Lightsail 条件キーのリストを確認するには、*IAM ユーザーガイド*の「[Amazon Lightsail の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-policy-keys)」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「[Amazon Lightsail で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions)」を参照してください。
### 例
Lightsail のアイデンティティベースのポリシーの例については、「[Amazon Lightsail アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Lightsail リソースベースのポリシー
Lightsail は、リソースベースのポリシーをサポートしません。
## アクセスコントロールリスト (ACL)
Lightsail はアクセスコントロールリスト (ACL) をサポートしません。
## Lightsail タグに基づいた承認
タグを Lightsail リソースにアタッチすることも、Lightsail へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、`lightsail:ResourceTag/{{key-name}}`、`aws:RequestTag/{{key-name}}`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
**重要**
Lightsail では、一部の API アクションのタグに基づく認可はサポートされていません。詳細については、「[リソースレベルのアクセス許可およびタグに基づく承認のサポート](resource-level-permissions-and-auth-based-on-tags-support.md)」を参照してください。
Lightsail リソースのタグ付けの詳細については、「[タグ](amazon-lightsail-tags.md)」を参照してください。
リソース上のタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例については、「[タグに基づく Lightsail リソースの作成と削除の許可](https://lightsail.aws.amazon.com/ls/docs/en_us/articles/security_iam_id-based-policy-examples#security_iam_id-based-policy-examples-view-widget-tags)」を参照してください。
## Lightsail IAM ロール
[IAM 役割](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は特定のアクセス許可を持つ、 AWS アカウント内のエンティティです。
### Lightsail を使用した一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Lightsail では、一時認証情報の使用をサポートしています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
Lightsail はサービスにリンクされたロールをサポートします。Lightsail サービスにリンクされたロールの作成または管理の詳細については、「[サービスにリンクされたロール](amazon-lightsail-using-service-linked-roles.md)」を参照してください。
### サービスロール
Lightsail はサービスロールをサポートしていません。
**Topics**
+ [Lightsail アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Lightsail リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [アクセスコントロールリスト (ACL)](#security_iam_service-with-iam-acls)
+ [Lightsail タグに基づいた承認](#security_iam_service-with-iam-tags)
+ [Lightsail IAM ロール](#security_iam_service-with-iam-roles)
+ [アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [リソースレベルのアクセス許可ポリシーの例](security_iam_resource-based-policy-examples.md)
+ [サービスリンクロールを使用する](amazon-lightsail-using-service-linked-roles.md)
+ [IAM でバケットを管理する](amazon-lightsail-bucket-management-policies.md)