翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 付録: サンプルプロファイルとロールポリシー
## アプリケーション 1 のサンプルポリシー
**プロファイル 1 **のサンプルポリシーでは、Amazon Simple Storage Service (Amazon S3) **のバケット 1** に対していくつかのアクションを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
}
]
}
```
**ロール 1** のサンプルポリシーでは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの `DescribeInstances` アクションを許可し、Amazon S3 の**バケット 1** と**バケット 2 **でいくつかのアクションを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
**プロファイル 1 **ポリシーは、**ロール 1 **ポリシーによって付与されるアクセス許可を制限します。ロールが引き受けられると、ロールセッションに適用されます IAM Roles Anywhere。**ロール 1 **を引き受けるアプリケーションは**、バケット 1 **にのみアクセスできます。プロファイル 1 ポリシーはこれらのアクセス許可を付与しないため、**バケット 2** にアクセスしたり、Amazon EC2 アクションを実行したりすることはできません。 ** **
## アプリケーション 2 のサンプルポリシー
**プロファイル 2 **のサンプルポリシーでは、Amazon S3 の**バケット 2** に対していくつかのアクションを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
**ロール 2 のサンプルポリシー**では、Amazon EC2 インスタンスの `DescribeInstances`アクションを許可し、Amazon S3 の**バケット 1** と**バケット 2** でいくつかのアクションを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
**プロファイル 2 **のポリシーは、**ロール 2 **によって付与されるアクセス許可を制限します。ロールが引き受けられると、ロールセッションに適用されます IAM Roles Anywhere。**ロール 2 **を引き受けるアプリケーションは**、バケット 2 **にのみアクセスできます。プロファイル 2 ポリシーはこれらのアクセス許可を付与しないため、**バケット 1** **にアクセスしたり、Amazon EC2 **アクションを実行したりすることはできません。 Amazon EC2