Resource Explorer と の連携方法 IAM - AWS Resource Explorer
Resource Explorer アイデンティティベースのポリシーResource Explorer タグに基づいた承認Resource Explorer IAMロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Resource Explorer と の連携方法 IAM

IAM を使用して へのアクセスを管理する前に AWS Resource Explorer、Resource Explorer で使用できるIAM機能を理解しておく必要があります。Resource Explorer およびその他の が と AWS のサービス 連携する方法の概要を把握するにはIAM、「 IAMユーザーガイド」の「 AWS のサービス と連携する IAM 」を参照してください。

他の と同様に AWS のサービス、Resource Explorer には、そのオペレーションを使用してリソースとやり取りするためのアクセス許可が必要です。検索するには、ユーザーはビューの詳細を取得する権限と、そのビューを使用して検索する権限を持っている必要があります。さらに、インデックスやビューを作成したり、それらおよびその他の Resource Explorer 設定を変更するには、追加の権限が必要です。

適切なIAMプリンシパルにこれらのアクセス許可を付与するIAMアイデンティティベースのポリシーを割り当てます。Resource Explorer には、共通のアクセス許可セットを事前定義したいくつかのマネージドポリシーが用意されています。これらをIAMプリンシパルに割り当てることができます。

Resource Explorer アイデンティティベースのポリシー

IAM アイデンティティベースのポリシーでは、特定のリソースに対する許可または拒否されたアクションと、それらのアクションが許可または拒否される条件を指定できます。Resource Explorer は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「 ユーザーガイド」の「 IAMJSONポリシー要素のリファレンスIAM」を参照してください。

アクション

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS APIオペレーションと同じです。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Resource Explorer のポリシーアクションは、アクションの前に resource-explorer-2 サービスプレフィックスを使用します。例えば、Resource Explorer SearchAPIオペレーションを使用してビューを使用して検索するアクセス許可を付与するには、そのプリンシパルに割り当てられたポリシーに resource-explorer-2:Searchアクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Resource Explorer は、このサービスで実行できるタスクを記述する独自のアクションセットを定義します。これらは Resource Explorer APIオペレーションと一致します。

1 つのステートメントで複数のアクションを指定するには、次の例のようにカンマで区切ります。

"Action": [
      "resource-explorer-2:action1",
      "resource-explorer-2:action2"
]

ワイルドカード文字 (*) を使用すると、複数のアクションを指定することができます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "resource-explorer-2:Describe*"

Resource Explorer アクションのリストを確認するには、「AWS サービス認証リファレンス」の「AWS Resource Explorerで定義されるアクション」を参照してください。

リソース

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Policy ResourceJSON要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

ビュー

Resource Explorer の主要なリソースタイプはビューです。

Resource Explorer ビューリソースのARN形式は次のとおりです。

arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}

Resource Explorer ARNの形式を次の例に示します。

arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
注記

ビューARNの には、すべてのビューが一意であることを確認するために、末尾に一意の識別子が含まれています。これにより、削除された古いビューへのアクセス権を付与した IAMポリシーを使用して、古いビューと同じ名前の新しいビューへのアクセス権を誤って付与することがなくなります。すべての新しいビューは、 が再利用されないように、最後に新しい一意の ID ARNs を受け取ります。

の形式の詳細についてはARNs、「Amazon リソースネーム (ARNs)」を参照してください。

IAM プリンシパルに割り当てられたIAMアイデンティティベースのポリシーを使用し、ビューを として指定しますResource。これにより、あるビューからは 1 つのプリンシパルセットへの検索アクセスを許可し、同時にまったく異なるビューから別のプリンシパルセットへの検索アクセスを許可できます。

例えば、IAMポリシーステートメントProductionResourcesViewで という名前の単一のビューにアクセス許可を付与するには、まずビューの Amazon リソース名 (ARN) を取得します。コンソールのビューページを使用してビューの詳細を表示したり、 ListViewsオペレーションを呼び出して必要なビューARN全体を取得したりできます。次に、1 つのビューの定義のみを変更する権限を付与する次の例のように、それをポリシーステートメントに含めます。

"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/<unique-id>"

特定のアカウントに属するすべてのビューでアクションを許可するには、 の関連部分でワイルドカード文字 (*) を使用しますARN。次の例では、指定した AWS リージョン およびアカウントのすべてのビューに検索権限を付与しています。

"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"

CreateView などの一部の Resource Explorer アクションは、次の例のようにリソースがまだ存在しない場合には特定のリソースに対しては実行されません。このような場合は、リソース 全体にワイルドカード文字 (*) を使用する必要がありますARN。

"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"

ワイルドカード文字で終わるパスを指定すると、承認されたパスのみを使用してビューを作成するように CreateView 操作を制限できます。以下のポリシー例は、プリンシパルがパス view/ProductionViews/ 内のみでビューを作成できるようにする方法を示しています。

"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""

[Index] (インデックス)

Resource Explorer 機能へのアクセスをコントロールするために使用できるもう 1 つのリソースタイプは、インデックスです。

インデックスを操作する主な方法は、そのリージョンにインデックスを作成することにより AWS リージョン で Resource Explorer をオンにすることです。その後は、ビューを操作して他のほとんどすべてを行います。

インデックスでできることの 1 つは、各リージョンでどのユーザーがビューを作成できるかを制御することです。

注記

ビューを作成すると、 は、インデックスではなく、ビューARNの のみに対して他のすべてのビューアクションIAMを承認します。

インデックスには、アクセス許可ポリシーで参照ARNできる があります。Resource Explorer インデックスARNの形式は次のとおりです。

arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}

Resource Explorer インデックス の次の例を参照してくださいARN。

arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222

Resource Explorer アクションの中には、複数のリソースタイプに対して認証をチェックするものがあります。例えば、 CreateViewオペレーションは、Resource Explorer がインデックスを作成した後と同様に、インデックスARNの とビューARNの の両方に対して を許可します。Resource Explorer サービスを管理する権限を管理者に付与するには、"Resource": "*" を使用して任意のリソース、インデックス、またはビューに対するアクションを承認します。

あるいは、プリンシパルが特定の Resource Explorer リソースのみを操作できるように制限することもできます。例えば、アクションを指定されたリージョンの Resource Explorer リソースのみに制限するには、インデックスとビューの両方に一致するARNテンプレートを含めることができますが、呼び出すリージョンは 1 つだけです。次の例では、 は、指定されたアカウントのus-west-2リージョンのみのインデックスまたはビューの両方ARNに一致します。の 3 番目のフィールドにリージョンを指定しますがARN、最後のフィールドにワイルドカード文字 (*) を使用して、任意のリソースタイプを照合します。

"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*

詳細については、「AWS サービス認証リファレンス」の「AWS Resource Explorerで定義されるリソース」を参照してください。各リソースARNの を指定できるアクションについては、「 で定義されるアクション AWS Resource Explorer」を参照してください。

条件キー

Resource Explorer にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスするアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグIAM」を参照してください。

AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。

Resource Explorer で使用できる条件キーのリストについては、「AWS サービス認証リファレンス」の「AWS Resource Explorerの条件キー」を参照してください。どのアクションおよびリソースで条件キーを使用できるかについては、「AWS Resource Explorerで定義されるアクション」を参照してください。

Resource Explorer のアイデンティティベースポリシーの例を確認するには、「AWS Resource Explorer アイデンティティベースポリシーの例」を参照してください。

Resource Explorer タグに基づいた承認

タグを Resource Explorer ビューにアタッチすることも、Resource Explorer へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを管理するには、resource-explorer-2:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素でタグ情報を提供します。Resource Explorer リソースへのタグ付けの詳細については、「ビューへのタグの追加」を参照してください。Resource Explorer でタグベースの認証を使用する方法については、「タグベースの認証を使用してビューへのアクセスを制御します。」を参照してください。

Resource Explorer IAMロール

IAM ロールは、特定のアクセス許可 AWS アカウント を持つ 内のプリンシパルです。

Resource Explorer を使用した一時認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインしたり、 IAMロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。一時的なセキュリティ認証情報を取得するには、 AssumeRoleや などの AWS Security Token Service (AWS STS) APIオペレーションを呼び出しますGetFederationToken

Resource Explorer では、一時認証情報の使用をサポートしています。

サービスリンクロール

サービスにリンクされたロールを使用すると AWS のサービス 、 は他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールはIAMアカウントに表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Resource Explorer は、サービスリンクロールを使用して作業を実行します。サービスリンクロールの詳細については、「Resource Explorer でのサービスリンクロールの使用」を参照してください。