Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

IAM ポリシーの構造

PDF
RSS
フォーカスモード
IAM ポリシーの構造 - AWS Batch
ポリシー構文の API アクション AWS Batchの Amazon リソースネーム AWS Batchアクセス許可のテスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

次のトピックでは、IAM ポリシーの簡単な構造について説明します。

ポリシー構文

IAM ポリシーは 1 つ以上のステートメントで構成される JSON ドキュメントです。各ステートメントの構成は以下のとおりです。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

ステートメントは 4 つの主なエレメントで構成されています。

  • Effect: effect は、Allow または Deny にすることができます。デフォルトでは、 ユーザーはリソースおよび API アクションを使用するアクセス許可がありません。そのため、すべてのリクエストが拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に上書きされます。

  • Action] (アクション): action は、アクセス許可を付与または拒否する対象とする、特定の API アクションです。アクションを指定する方法に関する指示は、の API アクション AWS Batch を参照してください。

  • Resource] (リソース): アクションによって影響を及ぼされるリソースです。 AWS Batch API アクションの中には、アクションによって作成/変更できるリソースをポリシー内で特定できるものもあります。ステートメントでリソースを指定するには、Amazon リソースネーム (ARN) を使用します。詳細については、AWS Batch API アクションでサポートされているリソースレベルのアクセス許可およびの Amazon リソースネーム AWS Batchを参照してください。 AWS Batch API オペレーションが現在リソースレベルのアクセス許可をサポートしていない場合は、ワイルドカード (*) を含めて、すべてのリソースがアクションの影響を受ける可能性があるように指定します。

  • Condition] (条件): condition はオプションです。ポリシーの発効条件を指定するために使用します。

の IAM ポリシーステートメントの例の詳細については AWS Batch、「」を参照してくださいリソース: のポリシーの例 AWS Batch

の API アクション AWS Batch

IAM ポリシーステートメントで、IAM をサポートするすべてのサービスからの任意の API アクションを指定できます。では AWS Batch、API アクションの名前に次のプレフィックスを使用します batch: (例: batch:SubmitJobおよび batch:CreateComputeEnvironment)。

単一のステートメントで複数のアクションを指定するには、各アクションをカンマで区切ります。

"Action": ["batch:action1", "batch:action2"]

またワイルドカード (*) を含めて、複数のアクションを指定することもできます。例えば、Describeという単語で始まる名前を用いて、すべてのアクションを指定できます。

"Action": "batch:Describe*"

すべての AWS Batch API アクションを指定するには、ワイルドカード (*) を含めます。

"Action": "batch:*"

AWS Batch アクションのリストについては、 AWS Batch API リファレンス「アクション」を参照してください。

の Amazon リソースネーム AWS Batch

各 IAM ポリシーステートメントは、ユーザーがAmazon リソースネーム(ARN)を使用して指定したリソースに適用されます。

Amazon リソースネーム (ARN) には、次の一般的な構文があります:

arn:aws:[service]:[region]:[account]:resourceType/resourcePath
service

サービス (例: batch)。

region

リソース AWS リージョン の (例: us-east-2)。

account

AWS アカウント ID。ハイフンなし (例: 123456789012)。

resourceType

リソースの種類 (例: compute-environment)。

resourcePath

リソースを識別するパス。パスにワイルドカードの(*)が使用できます。

AWS Batch API オペレーションは現在、複数の API オペレーションに対するリソースレベルのアクセス許可をサポートしています。詳細については、「AWS Batch API アクションでサポートされているリソースレベルのアクセス許可」を参照してください。すべてのリソースを指定する場合、または特定の API アクションが ARN をサポートしていない場合は、Resource エレメントに (*) ワイルドカードを含めます。

"Resource": "*"

ユーザーが必要なアクセス許可を持っていることを確認する

IAM ポリシーを本稼働環境に置く前に、そのポリシーがユーザーに対し、特定の API アクションおよび必要なリソースを使用のアクセス許可を付与しているかどうかを確認することをお勧めします。

これを行うには、まずテスト目的のユーザーを作成して、IAM ポリシーをテストユーザーにアタッチします。次に、テストユーザーとしてリクエストを作成します。テストリクエストは、コンソールまたは AWS CLIを使用して行うことができます。

注記

IAM ポリシーシミュレーターを使用してポリシーをテストすることもできます。ポリシーシミュレーターの詳細については、IAM ユーザーガイドIAM ポリシーシミュレーターで作業するを参照してください。

ポリシーが想定したアクセス許可をユーザーに付与していない場合、または過度に許可されている場合、必要に応じてポリシーを調整できます。必要な結果を得るまで再テストします。

重要

ポリシーの変更が反映され、有効になるには数分間かかります。したがって、ポリシーの更新をテストする前に、合格するには、少なくとも5分みておくことをお勧めします。

認可チェックが失敗した場合、リクエストでは診断情報でエンコードされたメッセージが返されます。DecodeAuthorizationMessage アクションを使用してメッセージをデコードできます。詳細については、AWS Security Token Service API リファレンスDecodeAuthorizationMessage、およびAWS CLI コマンドリファレンスdecode-authorization-messageを参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.