AWS Migration Hub Refactor Spaces はプレビューリリースであり、変更される可能性があります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Migration Hub ファクタリングスペースと IAM のしくみ
<a name="security_iam_service-with-iam"></a>

IAM を使用してリファクタリングスペースへのアクセスを管理する前に、リファクタリングスペースで使用できる IAM の機能について学びます。






**AWS Migration Hub リファクタリングスペースで使用できる IAM の機能**  

| IAM の機能 | リファクタリングスペースのサポート | 
| --- | --- | 
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | はい | 
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | はい | 
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | はい | 
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい | 
| [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい | 
| [ACL](#security_iam_service-with-iam-acls) | いいえ  | 
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | 部分的 | 
| [一時認証情報](#security_iam_service-with-iam-roles-tempcreds) | はい | 
| [プリンシパル許可](#security_iam_service-with-iam-principal-permissions) | はい | 
| [サービスロール](#security_iam_service-with-iam-roles-service) | いいえ  | 
| [サービスにリンクされたロール](#security_iam_service-with-iam-roles-service-linked) | はい | 

リファクタリングスペースおよびその他の方法の概要を表示するにはAWSサービスはほとんどの IAM 機能で動作します。を参照してください。[AWSIAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)の*IAM ユーザーガイド*。

## リファクタリングスペースの Identity ベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>


|  |  | 
| --- |--- |
| ID ベースのポリシーのサポート | はい | 

ID ベースのポリシーは、IAM user ユーザー、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件を制御します。アイデンティティベースポリシーを作成する方法については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)の「*IAM ポリシーの作成*」を参照してください。

IAM ID ベースのポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。プリンシパルは、それがアタッチされているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用できるすべての要素について学ぶには、*IAM ユーザーガイド*の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### リファクタリングスペースの Identity ベースのポリシー例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



リファクタリングスペース ID ベースのポリシーの例を表示するには、を参照してください。[AWS Migration Hub リファクタリングスペースのアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)。

## リファクタリングスペース内のリソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>


|  |  | 
| --- |--- |
| リソースベースのポリシーのサポート | はい | 

リソースベースのポリシーは、リソースにアタッチする JSON ポリシードキュメントです。リソースベースのポリシーの例は、IAM *ロールの信頼ポリシー*および Amazon S3 *バケットポリシー*です。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。ポリシーがアタッチされているリソースの場合、ポリシーは、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件を定義します。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または AWS のサービスを含めることができます。

クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合、信頼されたアカウントの IAM 管理者は、リソースにアクセスするための許可をプリンシパルエンティティ (ユーザーまたはロール) に付与する必要もあります。IAM 管理者は、ID ベースのポリシーをエンティティにアタッチすることで許可を付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、ID ベースのポリシーをさらに付与する必要はありません。詳細については、*IAM ユーザーガイド*の「[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)」を参照してください。

## リファクタリングスペースのポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>


|  |  | 
| --- |--- |
| ポリシーアクションに対するサポート | はい | 

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスするかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションを持たない*アクセス許可のみのアクション*など、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、*依存アクション*と呼ばれます。

このアクションは、関連付けられた操作を実行するための許可を付与するポリシーで使用されます。



スペースのリファクタリングアクションのリストを表示するには、を参照してください。[AWS Migration Hub リファクタリングスペースで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)の*サービス認証リファレンス*。

リファクタリングスペースのポリシーアクションは、アクションの前にプレフィックスを使用します。

```
refactor-spaces
```

単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。

```
"Action": [
      "refactor-spaces:{{action1}}",
      "refactor-spaces:{{action2}}"
         ]
```





リファクタリングスペース ID ベースのポリシーの例を表示するには、を参照してください。[AWS Migration Hub リファクタリングスペースのアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)。

## リファクタリングスペースのポリシーリソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>


|  |  | 
| --- |--- |
| ポリシーリソースに対するサポート | はい | 

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスするかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Resource` JSON ポリシーエレメントは、オブジェクトあるいはアクションが適用されるオブジェクトを指定します。ステートメントには、`Resource` または `NotResource` エレメントを含める必要があります。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) を使用してリソースを指定します。これは、*リソースレベルのアクセス許可*と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

操作のリスト化など、リソースレベルの許可をサポートしないアクションの場合は、ワイルドカード (\*) を使用して、ステートメントがすべてのリソースに適用されることを示します。

```
"Resource": "*"
```

リファクタリングスペースリソースタイプおよびその ARN のリストを表示するには、を参照してください。[AWS Migration Hub リファクタリングスペースで定義されるリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-resources-for-iam-policies)の*サービス認証リファレンス*。どのアクションで、各リソースの ARN を指定することができるかについては、を参照してください。[AWS Migration Hub リファクタリングスペースで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)。





リファクタリングスペース ID ベースのポリシーの例を表示するには、を参照してください。[AWS Migration Hub リファクタリングスペースのアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)。

## リファクタリングスペースのポリシー条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>


|  |  | 
| --- |--- |
| ポリシー条件キーに対するサポート | はい | 

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスするかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Condition` エレメント (または`Condition` *ブロック*) を使用すると、ステートメントが有効な条件を指定できます。`Condition`エレメントはオプションです。イコールや以下などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用する条件式を作成して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の `Condition` エレメントを指定する場合、または 1 つの`Condition` エレメントに複数のキーを指定する場合、AWS が論理 `AND`演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWSが論理 `OR` 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

 条件を指定する際にプレースホルダー変数も使用できます。例えば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)の *IAM ポリシーエレメント: 変数およびタグ*を参照してください。

AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

リファクタリングスペース条件キーのリストを表示するには、を参照してください。[AWS Migration Hub リファクタリングスペースの条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)の*サービス認証リファレンス*。どのアクションおよびリソースと条件キーを使用できるかについては、を参照してください。[AWS Migration Hub リファクタリングスペースで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)。

リファクタリングスペース ID ベースのポリシーの例を表示するには、を参照してください。[AWS Migration Hub リファクタリングスペースのアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)。

## リファクタリングスペースのアクセスコントロールリスト (ACL)
<a name="security_iam_service-with-iam-acls"></a>


|  |  | 
| --- |--- |
| ACL のサポート | いいえ  | 

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするための許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

## リファクタスペースでの属性ベースのアクセスコントロール (ABAC)
<a name="security_iam_service-with-iam-tags"></a>


|  |  | 
| --- |--- |
| ABAC (ポリシー内のタグ) のサポート | 部分的 | 

属性ベースのアクセスコントロール (ABAC) は、属性に基づいて許可を定義する認証戦略です。AWS では、これらの属性は*タグ*と呼ばれます。タグは、IAM エンティティ (ユーザーまたはロール)、および多数の AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初のステップです。その後、プリンシパルのタグがアクセスしようとしているリソースのタグと一致したときに操作を許可するように ABAC ポリシーを設計できます。

ABAC は、急速に成長している環境で役立ち、ポリシー管理が面倒な状況に役立ちます。

タグに基づいてアクセスを制御するには、`aws:ResourceTag/{{key-name}}`、`aws:RequestTag/{{key-name}}`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。

ABAC の詳細については、*IAM ユーザーガイド* の「[ABAC とは?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC の設定手順を含むチュートリアルを表示するには、を参照してください。[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)の*IAM ユーザーガイド*。

## リファクタリングスペースでの一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>


|  |  | 
| --- |--- |
| 一時的な認証情報のサポート | はい | 

AWS のサービスには、一時的な認証情報を使用してサインインしても機能しないものがあります。一時的な認証情報を利用できる AWS のサービスを含めた詳細情報については、*IAM ユーザーガイド*の「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

ユーザー名とパスワード以外の方法で AWS マネジメントコンソールにサインインする場合は、一時的な認証情報を使用していることになります。例えば、会社の Single Sign-On (SSO) リンクを使用して AWS にアクセスすると、そのプロセスは自動的に一時的な認証情報を作成します。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、*IAM ユーザーガイド*の「[ロールへの切り替え (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)」を参照してください。

一時的な認証情報は、AWS CLI または AWS API を使用して手動で作成できます。作成後、これらの一時的な認証情報を使用して AWS にアクセスできるようになります。AWS は、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、の「[IAM の一時的なセキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」を参照してください。

## リファクタリングスペースへのクロスサービスプリンシパル許可
<a name="security_iam_service-with-iam-principal-permissions"></a>


|  |  | 
| --- |--- |
| プリンシパル許可のサポート | はい | 

 IAM ユーザーまたはロールを使用して AWS でアクションを実行するユーザーは、プリンシパルと見なされます。ポリシーは、プリンシパルにアクセス許可を付与します。一部のサービスを使用する場合、別のサービスで別のアクションをトリガーするアクションを実行することがあります。この場合、両方のアクションを実行するための許可が必要です。アクションがポリシーで追加の依存アクションを必要とするかどうかを確認するには、を参照してください。[AWS Migration Hub リファクタリングスペースのアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html)の*サービス認証リファレンス*。

## リファクタリングスペースのサービスロール
<a name="security_iam_service-with-iam-roles-service"></a>


|  |  | 
| --- |--- |
| サービスロールに対するサポート | いいえ  | 

 サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける[ IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、*IAM ユーザーガイド*の「AWSのサービスにアクセス権限を委任するロールの作成」を参照してください。

**警告**  
サービスロールのアクセス許可を変更すると、リファクタリングスペースの機能が破損する可能性があります。リファクタリングスペースが指示する場合以外は、サービスロールを編集しないでください。

## リファクタリングスペースのサービスにリンクされたロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>


|  |  | 
| --- |--- |
| サービスリンクロールのサポート | はい | 

 サービスリンクロールは、AWS のサービスにリンクされているサービスロールの一種です。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

サービスにリンクされたロールの作成または管理の詳細については、[IAM と提携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)を参照してください。表の中から、**サービスにリンクされたロール**列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[**はい**] リンクを選択します。