Amazon Chime のアイデンティティベースポリシーの例 - Amazon Chime
ポリシーのベストプラクティスAmazon Chime コンソールの使用Amazon Chime へのフルアクセスをユーザーに許可する自分の権限の表示をユーザーに許可するユーザーにユーザー管理アクションへのアクセスを許可するAWS 管理ポリシー: AmazonChimeVoiceConnectorServiceLinkedRolePolicyAWS マネージドポリシーに対する Amazon Chime の更新

このガイドのステップを完了するには、Amazon Chime システム管理者である必要があります。Amazon Chime デスクトップクライアント、ウェブアプリケーション、またはモバイルアプリに関するヘルプが必要な場合は、「Amazon Chime ユーザーガイド」の「Getting support」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Chime のアイデンティティベースポリシーの例

デフォルトでは、IAMユーザーとロールには Amazon Chime リソースを作成または変更するアクセス許可はありません。また、 AWS Management Console、 AWS CLI、または を使用してタスクを実行することはできません AWS API。IAM 管理者は、必要な指定されたリソースに対して特定のAPIオペレーションを実行するアクセス許可をユーザーとロールに付与するIAMポリシーを作成する必要があります。続いて、管理者はそれらのアクセス権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

これらのポリシードキュメント例を使用してIAMアイデンティティベースのJSONポリシーを作成する方法については、「 IAMユーザーガイド」のJSON「 タブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

ID ベースのポリシーは、アカウント内で誰が Amazon Chime リソースを作成、アクセス、または削除できるかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

  • AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与する AWS 管理ポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、「IAMユーザーガイド」の「AWS マネージドポリシー」または「AWS ジョブ機能の管理ポリシー」を参照してください。

  • 最小特権を適用する – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、IAM ユーザー ガイドの「IAM のポリシーとアクセス許可」を参照してください。

  • IAMポリシーで条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信するように指定できますSSL。条件を使用して、サービスアクションが などの特定の を通じて使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。

  • IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。 IAMAccess Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、「 IAMユーザーガイド」のIAM「Access Analyzer を使用したポリシーの検証」を参照してください。

  • 多要素認証を要求する (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化MFAするために をオンにします。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 IAMユーザーガイド」の「 を使用した安全なAPIアクセスMFA」を参照してください。

IAM でのベストプラクティスの詳細については、「IAMユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。

Amazon Chime コンソールの使用

Amazon Chime コンソールにアクセスするには、許可の最小限のセットが必要です。これらのアクセス許可により、 AWS アカウントの Amazon Chime リソースの詳細を一覧表示および表示できます。最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーをアタッチしたエンティティ (IAM ユーザーまたはロール) に対してはコンソールが意図したとおりに機能しません。

これらのエンティティが引き続き Amazon Chime コンソールを使用できるようにするには、エンティティに次の AWS 管理AmazonChimeReadOnlyポリシーもアタッチします。詳細については、「 IAMユーザーガイド」の「ユーザーへのアクセス許可の追加」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:List*",
                "chime:Get*",
                "chime:SearchAvailablePhoneNumbers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS CLI または のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません AWS API。代わりに、実行しようとしているAPIオペレーションに一致するアクションのみへのアクセスを許可します。

Amazon Chime へのフルアクセスをユーザーに許可する

次の AWS 管理AmazonChimeFullAccessポリシーは、 IAMユーザーに Amazon Chime リソースへのフルアクセスを許可します。このポリシーは、ユーザーに対して、すべての Amazon Chime オペレーションへのアクセス、さらにユーザーに代わって Amazon Chime が実行できる必要のあるその他のオペレーションへのアクセスを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:GetLogDelivery",
                "logs:ListLogDeliveries",
                "logs:DescribeResourcePolicies",
                "logs:PutResourcePolicy",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "arn:aws:sns:*:*:ChimeVoiceConnector-Streaming*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:GetQueueAttributes",
                "sqs:CreateQueue"
            ],
            "Resource": [
                "arn:aws:sqs:*:*:ChimeVoiceConnector-Streaming*"
            ]
        }
    ]
}

自分の権限の表示をユーザーに許可する

この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI または を使用してプログラムでこのアクションを実行するアクセス許可が含まれています AWS API。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

ユーザーにユーザー管理アクションへのアクセスを許可する

AWS 管理AmazonChimeUserManagementポリシーを使用して、Amazon Chime コンソールのユーザー管理アクションへのアクセス権をユーザーに付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:ListAccounts",
                "chime:GetAccount",
                "chime:GetAccountSettings",
                "chime:UpdateAccountSettings",
                "chime:ListUsers",
                "chime:GetUser",
                "chime:GetUserByEmail",
                "chime:InviteUsers",
                "chime:InviteUsersFromProvider",
                "chime:SuspendUsers",
                "chime:ActivateUsers",
                "chime:UpdateUserLicenses",
                "chime:ResetPersonalPIN",
                "chime:LogoutUser",
                "chime:ListDomains",
                "chime:GetDomain",
                "chime:ListDirectories",
                "chime:ListGroups",
                "chime:SubmitSupportRequest",
                "chime:ListDelegates",
                "chime:ListAccountUsageReportData",
                "chime:GetMeetingDetail",
                "chime:ListMeetingEvents",
                "chime:ListMeetingsReportData",
                "chime:GetUserActivityReportData",
                "chime:UpdateUser",
                "chime:BatchUpdateUser",
                "chime:BatchSuspendUser",
                "chime:BatchUnsuspendUser",
                "chime:AssociatePhoneNumberWithUser",
                "chime:DisassociatePhoneNumberFromUser",
                "chime:GetPhoneNumber",
                "chime:ListPhoneNumbers",
                "chime:GetUserSettings",
                "chime:UpdateUserSettings",
                "chime:CreateUser",
                "chime:AssociateSigninDelegateGroupsWithAccount",
                "chime:DisassociateSigninDelegateGroupsFromAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 管理ポリシー: AmazonChimeVoiceConnectorServiceLinkedRolePolicy

AmazonChimeVoiceConnectorServiceLinkedRolePolicy により、Amazon Chime Voice Connector は Amazon Kinesis Video Streams にメディアをストリーミングしたり、ストリーミング通知を提供したり、Amazon Polly を使用して音声を合成したりできます。このポリシーは、Amazon Chime Voice Connector サービスに、お客様の Amazon Kinesis Video Streams へのアクセス、Amazon Simple Notification Service および Amazon Simple Queue Service への通知イベントの送信、Amazon Polly を使用した Amazon Chime SDK Voice アプリケーションSpeakおよびSpeakAndGetDigitsアクションの使用時の音声合成のアクセス許可を付与します。詳細については、「Amazon Chime 管理者ガイド」の「Amazon Chime SDKアイデンティティベースのポリシーの例」を参照してください。 SDK

AWS マネージドポリシーに対する Amazon Chime の更新

次の表は、Amazon Chime IAMポリシーに加えられた更新の一覧と説明です。

変更 説明 日付

AmazonChimeVoiceConnectorServiceLinkedRolePolicy - 既存ポリシーへの更新

Amazon Chime Voice Connector にAmazon Pollyを使用して音声を合成するための新しいアクセス許可が追加されました。これらのアクセス許可は、Amazon Chime SDK Voice Applications で Speakおよび SpeakAndGetDigitsアクションを使用するために必要です。

 2022 年 3 月 15 日

AmazonChimeVoiceConnectorServiceLinkedRolePolicy – 既存ポリシーへの更新

Amazon Chime Voice Connector にAmazon Kinesis Video Streams へのアクセスを許可し、 SNS および に通知イベントを送信する新しいアクセス許可が追加されましたSQS。Amazon Chime Voice Connector がメディアを Amazon Kinesis Video Streams にストリーミングし、ストリーミング通知を提供するには、これらの権限が必要です。

 2021 年 12 月 20 日

既存のポリシー関する変更。Chime SDKポリシーを使用したIAMユーザーまたはロールの作成

拡張検証をサポートする新しいアクションが Amazon Chime に追加されました。

出席者と会議リソースの一覧表示とタグ付けが可能になり、会議の文字起こしを開始および停止するためのアクションが追加されました。

 2021 年 9 月 23 日

Amazon Chime が変更の追跡を開始

Amazon Chime が AWS マネージドポリシーの変更の追跡を開始しました。

 2021 年 9 月 23 日