翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
基本的な原則
Amazon SWF アクセスコントロールは、主に次の 2 種類の権限に基づいています。
-
リソースアクセス許可: ユーザーがアクセスできる Amazon SWF リソース。
ドメインに対してのみリソースアクセス許可を表すことができます。
-
API のアクセス許可: ユーザーが呼び出すことができる Amazon SWF アクション。
最も簡単な方法は、完全なアカウントアクセスを許可する、任意のドメインで任意の Amazon SWF アクションを呼び出すか、アクセスを完全に拒否することです。ただし IAM では、アクセス許可への細分化されたより便利なアプローチをサポートします。例えば、次のことができます。
-
制限なしで、特定のドメイン内でのみ、任意の Amazon SWF アクションを呼び出すことができます。このようなポリシーを使用すると、開発中のワークフローアプリケーションで任意のアクションを使用できるようになりますが、「サンドボックス」ドメインのみが使用できます。
-
ユーザーが任意のドメインにアクセスできるようにしますが、API の使用方法を制限します。このようなポリシーを使用すると、「監査人」アプリケーションにより任意のドメイン内の API を呼び出し、読み取りアクセスのみを許可できます。
-
特定のドメインでは、限定された一連のアクションのみを呼び出すことができます。このようなポリシーを使用すると、ワークフロースターターが指定されたドメインで
StartWorkflowExecutionアクションのみを呼び出すことができます。
Amazon SWF アクセスコントロールは、以下の原則に基づいています。
-
アクセスコントロールの判断は、IAM ポリシーにのみ基づいています。すべてのポリシーの監査と操作は IAM によって行われます。
-
アクセスコントロールモデルは deny-by-default ポリシーを使用します。明示的に許可されていないアクセスは拒否されます。
-
適切な IAM ポリシーをワークフローのアクターにアタッチすることによって、Amazon SWF リソースへのアクセスを制御します。
-
ドメインに対してのみリソース権限を表すことができます。
-
1 つ以上のパラメータに条件を適用することによって、一部のアクションの使用をさらに制限することができます。
-
を使用するアクセス許可を付与する場合RespondDecisionTaskCompleted、そのアクションに含まれる決定のリストに対するアクセス許可を表現できます。
それぞれの決定には、通常の API 呼び出しと同じように、1 つ以上のパラメータがあります。ポリシーを可能な限り読みやすくするために、いくつかのパラメータに条件を適用するなど、実際の API 呼び出しのように、決定にアクセス許可を表すことができます。これらのタイプのアクセス許可は、擬似 API のアクセス許可と呼ばれます。
条件を使用して、制約を受ける、通常の API パラメータと擬似 API パラメータの概要については、API の要約 を参照してください。
