IAM ロールポリシーステートメントを使用してアクセス許可を制限する - AMS Advanced ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ロールポリシーステートメントを使用してアクセス許可を制限する

AMS は IAM ロールを使用して、フェデレーションサービスを通じてユーザーアクセス許可を設定します。

単一アカウントランディングゾーン AMS: 「SALZ: デフォルトの IAM ユーザーロール」を参照してください。

マルチアカウントランディングゾーン AMS: 「MALZ: デフォルトの IAM ユーザーロール」を参照してください。

IAM ロールは、 AWS サービスリクエストを行うための一連のアクセス許可を定義する IAM エンティティです。IAM ロールは、特定のユーザーまたはグループに関連付けられていません。代わりに、信頼されたエンティティは、IAM ユーザー、アプリケーション、Amazon EC2 などの AWS サービスなどのロールを引き受けます。詳細については、「IAM ロール」を参照してください。

Policy リクエストフィールドでより制限の厳しい IAM ポリシーを渡すことで、 AWS Security Token Service (STS) API オペレーション AssumeRole を使用して、AMS IAM ユーザーロールを引き受けるユーザーに必要なポリシーの範囲を絞り込むことができます。

次に、CT アクセスを制限するために使用できるポリシーステートメントの例を示します。

設定した Active Directory (AD) グループと AWS Security Token Service (STS) API オペレーション AssumeRole を使用して、特定の変更タイプ (CTs) へのアクセスの制限など、特定のユーザーまたはグループのアクセス許可を設定できます。以下に示すポリシーステートメントを使用して、さまざまな方法で CT アクセスを制限できます。

すべての AMS API コール (amscm および amsskms) およびすべての変更タイプへのアクセスを許可するデフォルトの IAM インスタンスプロファイルの AMS 変更タイプステートメント:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. 指定された 2 つの CTs「アクション」は AMS API オペレーション ( amscmまたは amsskms) で、「リソースIDs とバージョン番号を表します。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. 指定された 2 つの CTs でのみ CreateRfc、UpdateRfc、および SubmitRfc へのアクセスを許可するステートメント:

  3. 使用可能なすべての CTs で CreateRfc、UpdateRfc、および SubmitRfc へのアクセスを許可するステートメント:

  4. 制限付き CT に対するすべてのアクションのアクセスを拒否し、他の CTs で許可するステートメント: