ポリシーに関するベストプラクティスの使用AWS マネジメントコンソール IAMロールに必要なアクセス許可 Amazon S3暗号化キーに必要なアクセス許可自分の権限の表示をユーザーに許可する AWS KMS暗号化コンテキストポリシー混乱した代理の防止ポリシータグに基づく文字起こしジョブの表示

Amazon Transcribeアイデンティティベースのポリシーの例

デフォルトでは、ユーザーおよびロールには、Amazon Transcribe リソースを作成または変更する権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。

これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「IAM ポリシーを作成する (コンソール)」を参照してください。

Amazon Transcribe が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「サービス認可リファレンス」の「Amazon Transcribe のアクション、リソース、条件キー」を参照してください。

ポリシーに関するベストプラクティス

ID ベースのポリシーは、アカウント内のAmazon Transcribeリソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

AWS管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与するAWS管理ポリシーを使用します。これらはで使用できますAWS アカウント。ユースケースに固有のAWSカスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM ユーザーガイド の AWS マネージドポリシーまたはジョブ機能の AWS マネージドポリシーを参照してください。
最小特権を適用する – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、IAM ユーザーガイド の IAM でのポリシーとアクセス許可を参照してください。
IAM ポリシーで条件を使用してアクセスをさらに制限する - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションがなどの特定のを通じて使用されている場合にAWS のサービス、サービスアクションへのアクセスを許可することもできますCloudFormation。詳細については、IAM ユーザーガイド の IAM JSON ポリシー要素:条件を参照してください。
IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス権限を確保する - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、IAM ユーザーガイド の IAM Access Analyzer でポリシーを検証するを参照してください。
多要素認証 (MFA) を要求する – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合はAWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、IAM ユーザーガイド の MFA を使用した安全な API アクセスを参照してください。

IAM でのベストプラクティスの詳細については、IAM ユーザーガイド の IAM でのセキュリティのベストプラクティスを参照してください。

の使用AWS マネジメントコンソール

Amazon Transcribe コンソールにアクセスするには、許可の最小限のセットが必要です。これらのアクセス許可により、のAmazon Transcribeリソースの詳細を一覧表示および表示できますAWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

AWS CLIまたは AWSAPI のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

エンティティ (ユーザーとロール) がを使用できるようにするにはAWS マネジメントコンソール、次のいずれかAWSの管理ポリシーをアタッチします。

AmazonTranscribeFullAccess: すべてのAmazon Transcribeリソースを作成、読み取り、更新、削除、実行するフルアクセスを許可します。また、バケット名に transcribe を含む Amazon S3 バケットへのアクセスも許可します。
AmazonTranscribeReadOnlyAccess: 文字起こしジョブとカスタム語彙が表示できるように、Amazon Transcribe リソースへの読み取り専用アクセスを許可します。

注記

管理ポリシーは、IAM AWS マネジメントコンソールにサインインしてポリシー名で検索することで確認できます。「transcribe(文字起こし)」を検索すると、上記の両方のポリシー (AmazonTranscribeReadOnly と AmazonTranscribeFullAccess) が返されます。

独自のカスタムIAMポリシーを作成して、Amazon TranscribeAPI アクションのアクセス許可を許可することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要なエンティティにアタッチできます。

IAMロールに必要なアクセス許可

呼び出す IAMロールを作成する場合はAmazon Transcribe、Amazon S3バケットへのアクセス許可が必要です。該当する場合は、KMS key を使用してバケットの内容を暗号化する必要もあります。ポリシーの例については、以下のセクションを参照してください。

信頼ポリシー

文字起こしリクエストを行うために使用するIAMエンティティには、がそのロールAmazon Transcribeを引き受けることができる信頼ポリシーが必要です。次のAmazon Transcribe信頼ポリシーを使用します。通話後分析を有効にした状態でリアルタイムコール分析リクエストを行う場合は、「リアルタイムコール分析の信頼ポリシー」を使用する必要があることに注意してください。

の信頼ポリシーAmazon Transcribe

リアルタイムコール分析の信頼ポリシー

Amazon S3入力バケットポリシー

次のポリシーは、指定された入力バケットからファイルにアクセスするアクセス許可を IAMロールに付与します。

Amazon S3出力バケットポリシー

次のポリシーは、指定された出力バケットにファイルを書き込むアクセス許可を IAMロールに付与します。

Amazon S3暗号化キーに必要なアクセス許可

を使用して Amazon S3バケットをKMS key暗号化する場合は、KMS keyポリシーに以下を含めます。これにより、はバケットの内容Amazon Transcribeにアクセスできます。へのアクセスを許可する方法の詳細についてはKMS keys、「 AWS KMSデベロッパーガイド」の「 AWS アカウントへのアクセスを外部に許可KMS keyする」を参照してください。

自分の権限の表示をユーザーに許可する

この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLIまたは AWSAPI を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS KMS暗号化コンテキストポリシー

次のポリシーは、この特定の AWS KMSの Decrypt および Encrypt オペレーションを使用するアクセスExampleRole許可をIAMロールに付与しますKMS key。このポリシーは、少なくとも 1 つの暗号化コンテキストペア (この場合は「color:indigoBlue」) を持つリクエストに対してのみ機能します。AWS KMS暗号化コンテキストの詳細については、「」を参照してくださいAWS KMS暗号化コンテキスト。

混乱した代理の防止ポリシー

以下は、混乱した代理問題aws:SourceAccountAmazon Transcribeを防ぐために aws:SourceArnとを使用する方法を示すロール継承ポリシーの例です。混乱した代理の防止に関する詳細については、「サービス間の混乱した代理の防止」を参照してください。

タグに基づく文字起こしジョブの表示

アイデンティティベースのポリシーの条件を使用して、タグに基づいて Amazon Transcribe リソースへのアクセスをコントロールできます。この例では、文字起こしジョブを表示できるポリシーを作成する方法を示します。ただし、アクセス許可は、文字起こしジョブタグ Owner にそのユーザーのユーザー名の値がある場合のみ、付与されます。このポリシーでは、AWS マネジメントコンソールを使用してこのアクションを実行するために必要なアクセス許可も付与します。

このポリシーは、アカウントのIAMエンティティにアタッチできます。test-role という名前のロールが文字起こしジョブを表示しようとする場合、その文字起こしジョブには Owner=test-role または owner=test-role というタグを付ける必要があります(条件キー名では大文字と小文字は区別されません)。そうしないと、アクセスが拒否されます。詳細については、IAM ユーザーガイドの「IAM JSON ポリシー要素: 条件」を参照してください。

でのタグ付けの詳細についてはAmazon Transcribe、「」を参照してくださいリソースのタグ付け。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

混乱した代理の防止

トラブルシューティング