サポート終了通知: 2024 年 10 月 22 日、 AWS は Amazon Nimble Studio のサポートを終了します。2024 年 10 月 22 日以降、Nimble Studio コンソールまたは Nimble Studio リソースにアクセスできなくなります。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Nimble Studio で IAM を使用する方法
IAM を使用して Nimble Studio へのアクセスを管理する前に、Nimble Studio で使用できる IAM の機能について学びます。
**Amazon Nimble Studio で使用できる IAM の機能**
| IAM 機能 | Nimble Studio Support |
| --- | --- |
| [Nimble Studio のポリシーアクション](#security-iam-service-with-iam-id-based-policies-actions) | あり |
| [Nimble Studio のポリシーリソース](#security-iam-service-with-iam-id-based-policies-resources) | あり |
| [Nimble Studio のポリシー条件キー](#security-iam-service-with-iam-id-based-policies-conditionkeys) | はい |
| [Nimble Studio のアクセスコントロールリスト (ACL)](#security-iam-service-with-iam-acls) | なし |
| [Nimble Studio での属性ベースのアクセスコントロール (ABAC)](#security-iam-service-with-iam-tags) | はい |
| [Nimble Studio での一時的な認証情報の使用](#security-iam-service-with-iam-roles-tempcreds) | あり |
| [Nimble Studio のクロスサービスプリンシパル許可](#security-iam-service-with-iam-principal-permissions) | あり |
| [Nimble Studio のサービスロール](#security-iam-service-with-iam-roles-service) | はい |
| [Nimble Studio のサービスにリンクされたロール](#security-iam-service-with-iam-roles-service-linked) | いいえ |
Nimble Studio およびその他の がほとんどの IAM 機能と AWS のサービス 連携する方法の概要を把握するには、[AWS のサービス 「IAM ユーザーガイド」の「IAM と連携する ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Nimble Studio のアイデンティティベースのポリシー
| | |
| --- |--- |
| アイデンティティベースポリシーをサポートする | はい |
アイデンティティベースポリシーは、ユーザー、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件を制御します。アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM のアイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。プリンシパルはアタッチされているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用できるすべての要素について学ぶには、「IAM ユーザーガイド」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### Amazon Nimble Studio のアイデンティティベースのポリシー例
Nimble Studio でのアイデンティティベースのポリシーの例については、「[Amazon Nimble Studio のアイデンティティベースのポリシー例](security-iam-id-based-policy-examples.md)」を参照してください。
## Nimble Studio 内のリソースベースのポリシー
| | |
| --- |--- |
| リソースベースのポリシーのサポート | いいえ |
Nimble Studio では、リソースベースのポリシーとクロスアカウントでのアクセスはサポートされません。リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM **ロールの信頼ポリシー**や Amazon S3 **バケットポリシー**があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)します。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
## Nimble Studio のポリシーアクション
| | |
| --- |--- |
| ポリシーアクションのサポート | はい |
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない**アクセス許可のみのアクション**など、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは**依存アクション**と呼ばれます。
このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Nimble Studio アクションのリストを確認するには、**「サービス認可リファレンス**」の[「Amazon Nimble Studio で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html)」を参照してください。
Nimble Studio のポリシーアクションは、アクションの前に以下のプレフィックス を使用します。
```
nimble
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"nimble:action1",
"nimble:action2"
]
```
Nimble Studio でのアイデンティティベースのポリシーの例については、「[Amazon Nimble Studio のアイデンティティベースのポリシー例](security-iam-id-based-policy-examples.md)」を参照してください。
## Nimble Studio のポリシーリソース
| | |
| --- |--- |
| ポリシーリソースに対するサポート | はい |
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ステートメントには`Resource` または `NotResource` 要素を含める必要があります。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) を使用してリソースを指定します。これは**リソースレベルの許可**と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの許可をサポートしないアクションの場合はステートメントがすべてのリソースに適用されることを表示するワイルドカード (\*) を使用します。
```
"Resource": "*"
```
Nimble Studio でのアイデンティティベースのポリシーの例については、「[Amazon Nimble Studio のアイデンティティベースのポリシー例](security-iam-id-based-policy-examples.md)」を参照してください。
## Nimble Studio のポリシー条件キー
| | |
| --- |--- |
| ポリシー条件キーに対するサポート | はい |
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Condition` 要素(または Condition block) を使用すると、ステートメントが有効になる条件を指定できます。Condition 要素はオプションです。イコールや未満などの [条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、 AWS では `AND` 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、 AWS では `OR` 論理演算子を使用して条件を評価します。ステートメントのアクセス許可が付与される前に、すべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば、ユーザー名でタグ付けされている場合のみ、リソースにアクセスするユーザーアクセス許可を付与できます。詳細については、「**IAM ユーザーガイド**」の「[IAM ポリシーの要素: 変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイド の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Nimble Studio でのアイデンティティベースのポリシーの例については、「[Amazon Nimble Studio のアイデンティティベースのポリシー例](security-iam-id-based-policy-examples.md)」を参照してください。
## Nimble Studio のアクセスコントロールリスト (ACL)
| | |
| --- |--- |
| ACL のサポート | いいえ |
Nimble Studio はアクセスコントロールリスト (ACL) をサポートしていません。ACL は、どのプリンシパル (アカウントメンバー、ユーザー、ロール) がリソースへのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## Nimble Studio での属性ベースのアクセスコントロール (ABAC)
| | |
| --- |--- |
| ABAC のサポート (ポリシー内のタグ) | はい |
属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義するアクセス許可戦略です。では AWS、これらの属性は**タグ**と呼ばれます。タグは、IAM エンティティ (ユーザーまたはロール) および多くの AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初のステップです。次に、アクセスを試行する先のリソースのタグとプリンシパルのタグが一致した場合にオペレーションを許可するよう、ABAC ポリシーを設計します。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの [条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) でタグ情報を提供します。
ABAC の詳細については、「IAM ユーザーガイド」の「[ABAC とは?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップするステップを説明するチュートリアルについては、「IAM ユーザーガイド」の「[属性ベースのアクセス制御 (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## Nimble Studio での一時的な認証情報の使用
| | |
| --- |--- |
| 一時的な認証情報のサポート | はい |
一部の AWS のサービス は、一時的な認証情報を使用してサインインすると機能しません。一時的な認証情報 AWS のサービス を使用する機能などの詳細については、[AWS のサービス 「IAM ユーザーガイド」の「IAM と連携する ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。 ****
ユーザー名とパスワード以外の AWS マネジメントコンソール 方法で にサインインする場合、一時的な認証情報を使用します。例えば、会社のシングルサインオン (SSO) リンク AWS を使用して にアクセスすると、そのプロセスによって一時的な認証情報が自動的に作成されます。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、「IAM ユーザーガイド」の「[ロールへの切り替え (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)」を参照してください。
一時的な認証情報は、 AWS CLI または AWS API を使用して手動で作成できます。その後、これらの一時的な認証情報を使用してアクセスすることができます AWS。長期的なアクセスキーを使用する代わりに、一時的な認証情報 AWS を動的に生成することをお勧めします。詳細については、「[IAM の一時的セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」を参照してください。
## Nimble Studio のクロスサービスプリンシパル許可
| | |
| --- |--- |
| プリンシパル権限のサポート | はい |
## Nimble Studio のサービスロール
| | |
| --- |--- |
| サービスロールのサポート | あり |
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。サービスロールは、ご使用のアカウント内のみでアクセス権の付与を行います。他のアカウント内にあるサービスに、アクセス権を付与することはできません。管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「[AWS のサービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
**警告**
サービスロールの許可を変更すると、Nimble Studio の機能が破損する可能性があります。Nimble Studio が指示した場合にのみ、サービスロールを編集してください。
## Nimble Studio のサービスにリンクされたロール
| | |
| --- |--- |
| サービスにリンクされたロールのサポート | いいえ |
Nimble Studio は、サービスにリンクされたロールをサポートしていません。サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは IAM アカウント内に表示され、サービスによって所有されます。 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスリンクロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の中から、[**Service-linked role (サービスリンクロール)**] 列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。