WorkDocs APIs

クロスアカウントアクセスに対して IAM を設定するには

1. WorkDocs API アクセス許可ポリシーを作成し、WorkDocsAPIReadOnlyポリシーを呼び出します。

2. WorkDocs サイトをホストする AWS アカウントの IAM コンソールで新しいロールを作成します。

   1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

   2. コンソールのナビゲーションペインで [Roles] (ロール) をクリックし、[Create New Role] (新しいロールの作成) をクリックします。

   3. [Role name] (ロール名) ボックスにそのロールの目的を見分けやすくするロール名を入力します。例えば、workdocs_app_role です。ロール名は AWS アカウント内で一意である必要があります。ロール名を入力したら、[Next step] (次のステップ) をクリックします。

   4. [Select Role Type] (ロールタイプの選択) ページで、[Role for Cross-Account Access] (クロスアカウントアクセスのロール) セクションを選択し、作成するロールのタイプを選択します。

      • ユーザーアカウントとリソース AWS アカウントの両方の管理者である場合、または両方のアカウントが同じ会社に属している場合は、所有するアカウント間のアクセスを提供するを選択します。このオプションは、ユーザー、ロール、アクセスされるリソースがすべて同じアカウントに属している場合にも選択します。

      • WorkDocs サイトを所有するアカウントの管理者であり、アプリケーションデベロッパー AWS アカウントからユーザーに許可を付与する場合は、 AWS アカウントとサードパーティーアカウント間のアクセスを提供するを選択します。このオプションでは、お客様は、第三者によって提供される外部 ID を指定して、第三者がロールを使用してお客様のリソースにアクセスできる環境に対して、管理性を強化する必要があります。詳細については、「How to Use an External ID When Granting Access to Your AWS Resources to a Third Party」(AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法) をご参照ください。

   5. 次のページで、リソースへのアクセスを許可する AWS アカウント ID を指定し、サードパーティーのアクセスの場合は外部 ID を入力します。

   6. [Next Step] (次のステップ) をクリックして、ポリシーをアタッチします。

3. ポリシーのアタッチページで、前に作成した WorkDocs API アクセス許可ポリシーを検索し、ポリシーの横にあるボックスを選択し、次のステップをクリックします。

4. 詳細を確認し、今後の参照用にロール ARN をコピーして、[Create Role] (ロールの作成) をクリックしてロールの作成を完了します。

5. ロール ARN を開発者と共有します。ロール ARN の例を以下に示します。

   arn:aws:iam::AWS-ACCOUNT-ID:role/workdocs_app_role