翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # が IAM と AWS RAM 連携する方法 デフォルトでは、IAM プリンシパルには AWS RAM リソースを作成または変更するアクセス許可はありません。IAM プリンシパルがリソースを作成または変更してタスクを実行できるようにするには、以下の手順のいずれかを実行します。これらのアクションは、特定のリソースおよび API アクションを使用するアクセス許可を付与します。 アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。 + 以下のユーザーとグループ AWS IAM アイデンティティセンター: アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。 + IAM 内で、ID プロバイダーによって管理されているユーザー: ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。 + IAM ユーザー: + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。 + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。 AWS RAM には、多くのユーザーのニーズに対応するために使用できる AWS 管理ポリシーがいくつか用意されています。これらの詳細については、「[AWS の 管理ポリシー AWS Resource Access Manager](security-iam-awsmanpol.md)」を参照してください。 ユーザーに付与するアクセス許可を細かく制御する必要がある場合、IAM コンソールで独自のポリシーを構築できます。ポリシーを作成して IAM ロールとユーザーにアタッチする方法については、「**AWS Identity and Access Management ユーザーズガイド」の「[IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。 以下のセクションでは、IAM アクセス許可ポリシーを構築するための AWS RAM 具体的な詳細について説明します。 **Contents** + [ ## ポリシーの構造 ](#structure) + [ ### 効果 ](#iam-policies-effect) + [ ### Action ](#iam-policies-action) + [ ### [リソース] ](#iam-policies-resource) + [ ### Condition ](#iam-policies-condition) ## ポリシーの構造 IAM アクセス許可ポリシーは 効果、アクション、リソース、および条件を含む JSON ドキュメントです。通常、IAM ポリシーは以下の形式をとります。 ``` { "Statement":[{ "Effect":"", "Action":"", "Resource":"", "Condition":{ "":{ "":"" } } }] } ``` ### 効果 **効果文は、ポリシーでアクションを実行するプリンシパルアクセスを許可するか拒否するかを示します。指定できる値は、`Allow` および `Deny` などです。 ### Action *Action* ステートメントは、ポリシーがアクセス許可を許可または拒否する AWS RAM API アクションを指定します。許可されるアクションの詳細な一覧については、*IAM ユーザーガイド* の「[AWS Resource Access Managerで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions)」を参照してください。 ### [リソース] Resource **ステートメントは、ポリシーの影響を受ける AWS RAM リソースを指定します。ステートメント内でリソースを指定するには、一意の Amazon リソースネーム (ARN) を使用する必要があります。許可されるリソースの詳細な一覧については、*IAM ユーザーガイド* の「[AWS Resource Access Managerで定義されるリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies)」を参照してください。 ### Condition *条件*ステートメントはオプションです。ポリシーが適用される条件をさらに絞り込むために使用できます。 は次の条件キー AWS RAM をサポートしています。 + `aws:RequestTag/${TagKey}` - 指定されたタグキーを含むタグがサービスリクエストに存在し、指定された値があるかどうかをテストします。 + `aws:ResourceTag/${TagKey}` — サービスリクエストの対象となるリソースに、ポリシーで指定したタグキーが付いたタグがアタッチされているかどうかをテストします。 次の条件例では、サービスリクエストで参照されているリソースに、キー名「Owner」、値「Dev Team」のタグがアタッチされているかどうかを確認します。 ``` "Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } } ``` + `aws:TagKeys` - リソース共有の作成またはタグ付けに使用すべきタグキーを指定します。 + `ram:AllowsExternalPrincipals` - サービスリクエスト内のリソース共有が外部プリンシパルとの共有を許可しているかどうかをテストします。外部プリンシパルは、 の組織 AWS アカウント 外の です AWS Organizations。ここで `False` と評価された場合、このリソース共有は同じ組織内のアカウントでのみ共有できます。 + `ram:PermissionArn` - サービスリクエストで指定されたアクセス許可 ARN が、ポリシーで指定した ARN 文字列と一致するかどうかをテストします。 + `ram:PermissionResourceType` - サービスリクエストで指定されたアクセス許可が、ポリシーで指定したリソースタイプで有効かどうかをテストします。リソースタイプは、[共有可能なリソースタイプ](shareable.md)の一覧に示す形式に従って指定する必要があります。 + `ram:Principal` - サービスリクエストで指定されたプリンシパルの ARN が、ポリシーで指定した ARN 文字列と一致するかどうかをテストします。 + `ram:RequestedAllowsExternalPrincipals` - サービスリクエストに `allowExternalPrincipals` パラメータが含まれているかどうか、またその引数がポリシーで指定した値と一致するかどうかをテストします。 + `ram:RequestedResourceType` - 処理対象リソースのリソースタイプが、ポリシーで指定したリソースタイプ文字列と一致するかどうかをテストします。リソースタイプは、[共有可能なリソースタイプ](shareable.md)の一覧に示す形式に従って指定する必要があります。 + `ram:ResourceArn` - サービスリクエストの処理対象リソースの ARN が、ポリシーで指定した ARN と一致するかどうかをテストします。 + `ram:ResourceShareName` - サービスリクエストの処理対象リソースの名前が、ポリシーで指定した文字列と一致するかどうかをテストします。 + `ram:ShareOwnerAccountId` - サービスリクエストの処理対象リソースのアカウント ID 番号が、ポリシーで指定した文字列と一致するかどうかをテストします。