AWSAWS AppSync の マネージドポリシー - AWS AppSync GraphQL
AWSAppSyncInvokeFullAccessAWSAppSyncSchemaAuthorAWSAppSyncPushToCloudWatchLogsAWSAppSyncAdministratorAWSAppSyncServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAWS AppSync の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要なアクセスのみを許可する IAM のカスタマー管理のポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「IAM ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、 AWS マネージドポリシーに新しい機能をサポートするために追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。

さらに、 は、複数のサービスにまたがる職務機能の管理ポリシー AWS をサポートします。例えば、ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースに読み取り専用アクセス許可 AWS を追加します。ジョブ機能ポリシーのリストと説明については、IAM ユーザーガイドジョブ機能のAWS 管理ポリシーを参照してください。

AWS マネージドポリシー: AWSAppSyncInvokeFullAccess

AWSAppSyncInvokeFullAccess AWS 管理ポリシーを使用して、管理者がコンソールから、または個別に AWS AppSync サービスにアクセスできるようにします。

AWSAppSyncInvokeFullAccess ポリシーを IAM アイデンティティにアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • AWS AppSync – AWS AppSync のすべてのリソースへの完全な管理アクセスを許可します

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:GetGraphqlApi",
                "appsync:ListGraphqlApis",
                "appsync:ListApiKeys"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSAppSyncSchemaAuthor

AWSAppSyncSchemaAuthor AWS マネージドポリシーを使用して、IAM ユーザーが にアクセスして GraphQL スキーマを作成、更新、クエリできるようにします。これらの権限でユーザーが実行できる内容については、「AWS AppSync での GraphQL API の設計」を参照してください。

AWSAppSyncSchemaAuthor ポリシーを IAM アイデンティティにアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • AWS AppSync – 以下のアクションを許可します。

    • GraphQL スキーマを作成する

    • GraphQL のタイプ、リゾルバー、関数の作成、変更、削除を許可する

    • リクエストとレスポンスのテンプレートのロジックを評価する

    • ランタイムとコンテキストを使用してコードを評価する

    • GraphQL クエリを GraphQL API に送信する

    • GraphQL データを取得する

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:CreateResolver",
                "appsync:CreateType",
                "appsync:DeleteResolver",
                "appsync:DeleteType",
                "appsync:GetResolver",
                "appsync:GetType",
                "appsync:GetDataSource",
                "appsync:GetSchemaCreationStatus",
                "appsync:GetIntrospectionSchema",
                "appsync:GetGraphqlApi",
                "appsync:ListTypes",
                "appsync:ListApiKeys",
                "appsync:ListResolvers",
                "appsync:ListDataSources",
                "appsync:ListGraphqlApis",
                "appsync:StartSchemaCreation",
                "appsync:UpdateResolver",
                "appsync:UpdateType",
                "appsync:TagResource",
                "appsync:UntagResource",
                "appsync:ListTagsForResource",
                "appsync:CreateFunction",
                "appsync:UpdateFunction",
                "appsync:GetFunction",
                "appsync:DeleteFunction",
                "appsync:ListFunctions",
                "appsync:ListResolversByFunction",
                "appsync:EvaluateMappingTemplate",
                "appsync:EvaluateCode"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSAppSyncPushToCloudWatchLogs

AWS AppSync は Amazon CloudWatch を使用して、GraphQL リクエストのトラブルシューティングと最適化に使用できるログを生成することで、アプリケーションのパフォーマンスをモニタリングします。詳細については、「CloudWatch を使用した GraphQL API データのモニタリングとログ」を参照してください。

AWSAppSyncPushToCloudWatchLogs AWS マネージドポリシーを使用して、 AWS AppSync が IAM ユーザーの CloudWatch アカウントにログをプッシュできるようにします。

AWSAppSyncPushToCloudWatchLogs ポリシーを IAM アイデンティティにアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • CloudWatch Logs – 指定した名前のロググループとストリームの作成を AWS AppSync に許可します。 AWS AppSync は、指定したログストリームにログイベントをプッシュします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSAppSyncAdministrator

AWSAppSyncAdministrator AWS 管理ポリシーを使用して、管理者が AWS コンソールを除くすべての AWS AppSync にアクセスできるようにします。

IAM エンティティに AWSAppSyncAdministrator をアタッチできます。 AWS AppSync は、ユーザーに代わってアクションを実行することを許可するサービスロールにもこのポリシーをアタッチします。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • AWS AppSync — AWS AppSync のすべてのリソースへの完全な管理アクセスを許可します

  • IAM – 以下のアクションを許可します。

    • サービスにリンクされたロールを作成して、 AWS AppSync がユーザーに代わって他のサービスのリソースを分析できるようにします。

    • サービスにリンクされたロールの削除

    • サービスにリンクされたロールを の他の AWS サービスに渡して、後でロールを引き受け、ユーザーに代わってアクションを実行する

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "appsync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "appsync.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteServiceLinkedRole",
                "iam:GetServiceLinkedRoleDeletionStatus"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
        }
    ]
}

AWS マネージドポリシー: AWSAppSyncServiceRolePolicy

AWSAppSyncServiceRolePolicy AWS マネージドポリシーを使用して、 AWS AppSync が使用または管理する AWS サービスおよびリソースへのアクセスを許可します。

IAM エンティティに AWSAppSyncServiceRolePolicy をアタッチすることはできません。このポリシーは、 AWS AppSync がユーザーに代わってアクションを実行することを許可するサービスにリンクされたロールにアタッチされます。詳細については、「AWS AppSync のサービスにリンクされたロール」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • X-Ray – AWS AppSync は AWS X-Ray を使用して、アプリケーション内で行われたリクエストに関するデータを収集します。詳細については、「AWS X-Ray を使用して AWS AppSync でリクエストを追跡する」を参照してください。

    このポリシーは以下のアクションを許可します。

    • サンプリングルールとその結果の取得

    • X-Ray デーモンへのトレースデータの送信

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingTargets",
                "xray:GetSamplingRules",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

マネージドポリシーに対する AWSAWS AppSync の更新

AWS AppSync の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、 AWS AppSync ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

AWSAppSyncSchemaAuthor - 既存のポリシーに対する更新

ランタイムとコンテキストを使用したコードの評価を許可する EvaluateCode ポリシーアクションを追加しました。

 2023 年 2 月 7 日

AWSAppSyncSchemaAuthor - 既存のポリシーに対する更新

API のリスト、取得、作成、更新、削除の各機能を許可するポリシーアクションを追加しました。

リクエストとレスポンスのリゾルバーのマッピングテンプレートロジックに対するユーザーの評価を許可する EvaluateMappingTemplate ポリシーアクションを追加しました。

リソースのタグ付けを許可するポリシーアクションを追加しました。

 2022 年 8 月 25 日

AWS AppSync が変更の追跡を開始しました

AWS AppSync が AWS マネージドポリシーの変更の追跡を開始しました。

 2022 年 8 月 25 日