Amazon Timestream for LiveAnalytics に類似した機能をご希望の場合は Amazon Timestream for InfluxDB をご検討ください。リアルタイム分析に適した、シンプルなデータインジェストと 1 桁ミリ秒のクエリ応答時間を特徴としています。詳細については、[こちら](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Timestream for LiveAnalytics と IAM の連携方法
IAM を使用して Timestream for LiveAnalytics へのアクセスを管理する前に、Timestream for LiveAnalytics で使用できる IAM 機能について理解しておく必要があります。Timestream for LiveAnalytics およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Timestream for LiveAnalytics のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Timestream for LiveAnalytics のリソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Timestream for LiveAnalytics のタグに基づく承認](#security_iam_service-with-iam-tags)
+ [Timestream for LiveAnalytics の IAM ロール](#security_iam_service-with-iam-roles)
## Timestream for LiveAnalytics のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Timestream for LiveAnalytics は、特定のアクションとリソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
IAM ポリシーステートメントのアクション要素では、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーション、CLI コマンド、または SQL コマンドへのアクセスを許可または拒否します。
場合によっては、単一のアクションで API オペレーションと SQL コマンドへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Timestream for LiveAnalytics でサポートされている `Action` のリストについては、以下の表を参照してください。
**注記**
データベース固有の `Actions` すべてで、データベース ARN を指定して、アクションを特定のデータベースに制限できます。
| アクション | 説明 | アクセスレベル | リソースタイプ (\$1 必須) |
| --- | --- | --- | --- |
| DescribeEndpoint | 後続のリクエストを行う必要がある Timestream エンドポイントを返します。 | すべて | \$1 |
| Select | 1 つ以上のテーブルからデータを選択する Timestream でクエリを実行します。[詳しい説明は、こちらの注意事項を参照してください。](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | 読み取り | テーブル\$1 |
| CancelQuery | クエリをキャンセルします。 | 読み取り | \$1 |
| ListTables | テーブルのリストを取得します。 | リスト | データベース\$1 |
| ListDatabases | データベースのリストを取得します。 | リスト | \$1 |
| ListMeasures | メジャーのリストを取得します。 | 読み取り | テーブル\$1 |
| DescribeTable | テーブルの説明を取得します。 | 読み取り | テーブル\$1 |
| DescribeDatabase | データベースの説明を取得します。 | 読み取り | データベース\$1 |
| SelectValues | 特定のリソースを指定する必要がないクエリを実行します。[詳しい説明は、こちらの注意事項を参照してください](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues)。 | 読み取り | \$1 |
| WriteRecords | Timestream にデータを挿入します。 | 書き込み | テーブル\$1 |
| CreateTable | テーブルを作成します。 | 書き込み | データベース\$1 |
| CreateDatabase | データベースを作成します。 | 書き込み | \$1 |
| DeleteDatabase | データベースを削除します。 | 書き込み | \$1 |
| UpdateDatabase | データベースを更新します。 | 書き込み | \$1 |
| DeleteTable | テーブルを削除します。 | 書き込み | データベース\$1 |
| UpdateTable | テーブルを更新します。 | 書き込み | データベース\$1 |
#### SelectValues と Select:
`SelectValues` は、リソースを*必要としない*クエリに使用される `Action` です。リソースを必要としないクエリの例を次に示します。
```
SELECT 1
```
このクエリでは特定の Timestream for LiveAnalytics リソースを参照していないことに注意してください。別の例を考えてみましょう。
```
SELECT now()
```
このクエリは、`now()` 関数を使用して現在のタイムスタンプを返しますが、リソースを指定する必要はありません。`SelectValues` はテストによく使用されるため、Timestream for LiveAnalytics はリソースなしでクエリを実行できます。次に、`Select` クエリについて考えてみましょう。
```
SELECT * FROM database.table
```
このタイプのクエリでは、指定されたデータをテーブルから取得できるように、リソース、特に Timestream for LiveAnalytics `table` が必要です。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Timestream for LiveAnalytics では、IAM 権限の `Resource` 要素でデータベースとテーブルを使用できます。
Timestream for LiveAnalytics データベースリソースには、次の ARN があります。
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
Timestream for LiveAnalytics テーブルリソースには、次の ARN があります。
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `database` キースペースを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
特定のアカウントに属するすべてのデータベースを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
リソースの作成など、一部の Timestream for LiveAnalytics アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
### 条件キー
Timestream for LiveAnalytics にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
Timestream for LiveAnalytics のアイデンティティベースのポリシーの例を表示するには、「[Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Timestream for LiveAnalytics のリソースベースのポリシー
Timestream for LiveAnalytics は、リソースベースのポリシーをサポートしていません。詳細なリソースベースのポリシーページの例を表示するには、[https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) を参照してください。
## Timestream for LiveAnalytics のタグに基づく承認
タグを使用して、Timestream for LiveAnalytics リソースへのアクセスを管理できます。タグに基づいてリソースアクセスを管理するには、`timestream:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。Timestream for LiveAnalytics リソースのタグ付けの詳細については、「[リソースへのタグとラベルの追加](tagging-keyspaces.md)」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグに基づく Timestream for LiveAnalytics リソースへのアクセス](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags)」を参照してください。
## Timestream for LiveAnalytics の IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Timestream for LiveAnalytics での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
### サービスリンクロール
Timestream for LiveAnalytics は、サービスにリンクされたロールをサポートしていません。
### サービスロール
Timestream for LiveAnalytics はサービスロールをサポートしていません。