翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
が IAM とAWS RAM連携する方法
デフォルトでは、IAM プリンシパルにはAWS RAMリソースを作成または変更するアクセス許可はありません。IAM プリンシパルがリソースを作成または変更してタスクを実行できるようにするには、以下の手順のいずれかを実行します。これらのアクションは、特定のリソースおよび API アクションを使用するアクセス許可を付与します。
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
-
のユーザーとグループAWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「AWS IAM アイデンティティセンターユーザーガイド」の「アクセス許可セットを作成する」の手順に従ってください。
-
IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については IAM ユーザーガイド の サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する を参照してください。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。手順については IAM ユーザーガイド の IAM ユーザーのロールの作成 を参照してください。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。IAM ユーザーガイド の ユーザー (コンソール) へのアクセス許可の追加 の指示に従います。
-
AWS RAMには、多くのユーザーのニーズに対応するために使用できるAWS管理ポリシーがいくつか用意されています。これらの詳細については、「AWSの 管理ポリシーAWS RAM」を参照してください。
ユーザーに付与するアクセス許可を細かく制御する必要がある場合、IAM コンソールで独自のポリシーを構築できます。ポリシーを作成して IAM ロールとユーザーにアタッチする方法については、「AWS Identity and Access Managementユーザーズガイド」の「IAM でのポリシーとアクセス許可」を参照してください。
以下のセクションでは、IAM アクセス許可ポリシーを構築するためのAWS RAM具体的な詳細について説明します。
ポリシーの構造
IAM アクセス許可ポリシーは 効果、アクション、リソース、および条件を含む JSON ドキュメントです。通常、IAM ポリシーは以下の形式をとります。
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
効果
効果文は、ポリシーでアクションを実行するプリンシパルアクセスを許可するか拒否するかを示します。指定できる値は、Allow および Deny などです。
Action
Action ステートメントは、ポリシーがアクセス許可を許可または拒否するAWS RAM API アクションを指定します。許可されるアクションの詳細な一覧については、IAM ユーザーガイド の「AWS Resource Access Managerで定義されるアクション」を参照してください。
[リソース]
Resource ステートメントは、ポリシーの影響を受けるAWS RAMリソースを指定します。ステートメント内でリソースを指定するには、一意の Amazon リソースネーム (ARN) を使用する必要があります。許可されるリソースの詳細な一覧については、IAM ユーザーガイド の「AWS Resource Access Managerで定義されるリソース」を参照してください。
Condition
条件ステートメントはオプションです。ポリシーが適用される条件をさらに絞り込むために使用できます。 は次の条件キーAWS RAMをサポートしています。
-
aws:RequestTag/${TagKey}- 指定されたタグキーを含むタグがサービスリクエストに存在し、指定された値があるかどうかをテストします。 -
aws:ResourceTag/${TagKey}— サービスリクエストの対象となるリソースに、ポリシーで指定したタグキーが付いたタグがアタッチされているかどうかをテストします。次の条件例では、サービスリクエストで参照されているリソースに、キー名「Owner」、値「Dev Team」のタグがアタッチされているかどうかを確認します。
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } } -
aws:TagKeys- リソース共有の作成またはタグ付けに使用すべきタグキーを指定します。 -
ram:AllowsExternalPrincipals- サービスリクエスト内のリソース共有が外部プリンシパルとの共有を許可しているかどうかをテストします。外部プリンシパルは、 の組織AWS アカウント外の ですAWS Organizations。ここでFalseと評価された場合、このリソース共有は同じ組織内のアカウントでのみ共有できます。 -
ram:PermissionArn- サービスリクエストで指定されたアクセス許可 ARN が、ポリシーで指定した ARN 文字列と一致するかどうかをテストします。 -
ram:PermissionResourceType- サービスリクエストで指定されたアクセス許可が、ポリシーで指定したリソースタイプで有効かどうかをテストします。リソースタイプは、共有可能なリソースタイプの一覧に示す形式に従って指定する必要があります。 -
ram:Principal- サービスリクエストで指定されたプリンシパルの ARN が、ポリシーで指定した ARN 文字列と一致するかどうかをテストします。 -
ram:RequestedAllowsExternalPrincipals- サービスリクエストにallowExternalPrincipalsパラメータが含まれているかどうか、またその引数がポリシーで指定した値と一致するかどうかをテストします。 -
ram:RequestedResourceType- 処理対象リソースのリソースタイプが、ポリシーで指定したリソースタイプ文字列と一致するかどうかをテストします。リソースタイプは、共有可能なリソースタイプの一覧に示す形式に従って指定する必要があります。 -
ram:ResourceArn- サービスリクエストの処理対象リソースの ARN が、ポリシーで指定した ARN と一致するかどうかをテストします。 -
ram:ResourceShareName- サービスリクエストの処理対象リソースの名前が、ポリシーで指定した文字列と一致するかどうかをテストします。 -
ram:ShareOwnerAccountId- サービスリクエストの処理対象リソースのアカウント ID 番号が、ポリシーで指定した文字列と一致するかどうかをテストします。
