Cloud Directory リソースへのアクセス権限の管理の概要 - Amazon Cloud Directory
Cloud Directory リソースと運用リソース所有権についてリソースへのアクセスの管理ポリシー要素の指定: アクション、効果、リソース、プリンシパルポリシーでの条件の指定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Cloud Directory リソースへのアクセス権限の管理の概要

すべての AWS リソースは AWS アカウントによって所有され、となり、リソースの作成またはアクセスは、アクセス権限のポリシーによって管理されます。アカウント管理者は、アクセス権限ポリシーを IAM アイデンティティ (ユーザー、グループ、ロール) にアタッチできます。一部のサービス (AWS Lambda など) もリソースにアクセス権限ポリシーをアタッチすることができます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、『IAM ユーザーガイド』の「IAM ベストプラクティス」を参照してください。

アクセス権限を付与する場合、アクセス権限を取得するユーザー、取得するアクセス権限の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。

Cloud Directory リソースと運用

Cloud Directory では、プライマリリソースはディレクトリとスキーマです。これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ ARN 形式

ディレクトリ

arn:aws:clouddirectory:region:account-id:directory/directory-id
スキーマ arn:aws:clouddirectory:region:account-id:schema/schema-state/schema-name

スキーマの状態と ARN の詳細については、「」を参照してください。ARN の例()Amazon Cloud Directory API リファレンス

Cloud Directory には、適切なリソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「Amazon Cloud Directory Actions」または「Directory Service Actions」のいずれかを参照してください。

リソース所有権について

リソース所有者は、リソースを作成した AWS アカウントです。つまり、リソース所有者は、リソースの作成リクエストを認証するプリンシパルエンティティ(ルートアカウント、IAM ユーザー、または IAM ロール)の AWS アカウントです。以下の例では、このしくみを示しています。

  • AWS アカウントのルートアカウントの認証情報を使用して、ディレクトリなどの Cloud Directory リソースを作成する場合、AWS アカウントは AWS リソースの所有者です。

  • AWS アカウントに IAM ユーザーを作成し、そのユーザーに Cloud Directory リソースを作成するためのアクセス権限を付与する場合、そのユーザーは Cloud Directory リソースも作成できます。ただし、ユーザーが属する AWS アカウントは リソースを所有しています。

  • AWS アカウントに Cloud Directory リソースを作成するためのアクセス権限を持つ IAM ロールを作成する場合は、ロールを引き受けることのできるいずれのユーザーも Cloud Directory リソースを作成できます。ロールが属する AWS アカウントは、Cloud Directory リソースを所有します。

リソースへのアクセスの管理

アクセスポリシーでは、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス権限のポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、Cloud Directory のコンテキストでの IAM の使用について説明します。これは、IAM サービスに関する詳細情報を取得できません。完全な IAM ドキュメントについては、「」を参照してください。IAM とは()IAM ユーザーガイド。IAM ポリシーの構文と記述については、「」を参照してください。AWS IAM ポリシーのリファレンス()IAM ユーザーガイド

IAM アイデンティティにアタッチされたポリシーは、アイデンティティベースリソースにアタッチされたポリシー (IAM ポリシー) およびポリシーは、リソースベースポリシー Cloud Directory では、アイデンティティベースのポリシー (IAM ポリシー) のみサポートされます。

アイデンティティベースのポリシー (IAM ポリシー)

ポリシーを IAM アイデンティティにアタッチできます。たとえば、次の操作を実行できます。

  • アカウントのユーザーまたはグループにアクセス権限ポリシーをアタッチする— アカウント管理者は、特定のユーザーに関連付けられるアクセス権限ポリシーを使用して、そのユーザーに Cloud Directory リソース (新しいディレクトリなど) の作成を許可するアクセス権限を付与することができます。

  • ロールにアクセス権限ポリシーをアタッチする (クロスアカウントアクセス権限を付与する)— アイデンティティベースのアクセス権限ポリシーを IAM ロールにアタッチして、クロスアカウントアクセス権限を付与できます。たとえば、アカウント A の管理者は、次のように他のまたは AWS にクロスアカウントのアクセス権限を別の AWS アカウント (アカウント B) または AWS サービスに付与するロールを作成することができます。

    1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに権限を付与するロールに権限ポリシーをアタッチします。

    2. アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。

    3. アカウント B の管理者は、アカウント B のユーザーにロールを引き受ける権限を委任できるようになります。これにより、アカウント B のユーザーにアカウント A のリソースの作成とアクセスが許可されます。AWS サービスのアクセス権限を付与してロールを引き受けさせたい場合は、信頼ポリシー内のプリンシパルも、AWS サービスのプリンシパルとなることができます。

    IAM を使用したアクセス権限の委任の詳細については、「」を参照してください。アクセス管理()IAM ユーザーガイド

以下のアクセス権限ポリシーは、Create で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリまたはスキーマなどの、Cloud Directory リソースに関する情報を表示します。ワイルドカード文字 (*) は、Resource要素は、アカウントによって所有されるすべての Cloud Directory リソースに対してそれらのアクションが許可されることを示します。

{
   "Version":"2017-01-11",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"clouddirectory:Create*",
         "Resource":"*"
      }
   ]
}

Cloud Directory でアイデンティティベースのポリシーを使用する方法の詳細については、Cloud Directory でのアイデンティティベースのポリシー (IAM ポリシー) の使用。ユーザー、グループ、ロール、アクセス許可の詳細については、IAM ユーザーガイドの「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

Amazon S3 などの他のサービスでは、リソースベースのアクセス権限ポリシーもサポートされています。たとえば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Cloud Directory では、リソースベースのポリシーはサポートされていません。

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

各Cloud Directory リソースについて (Cloud Directory リソースと運用) では、このサービスは、一連の API オペレーションを定義します。使用可能な API オペレーションのリストについては、Amazon Cloud Directory のアクションまたはDirectory Service アクション。これらの API オペレーションを実行するためのアクセス権限を付与するために、Cloud Directory ではポリシーに一連のアクションを定義できます。API オペレーションを実行する場合に、複数のアクションで権限が必要となる場合があることに注意してください。

以下は、基本的なポリシーの要素です。

  • リソース— ポリシーで Amazon Resource Name (ARN) を使用して、ポリシーを適用するリソースを識別します。Cloud Directory リソースの場合、IAM ポリシーでは必ずワイルドカード文字 (*) を使用します。詳細については、「Cloud Directory リソースと運用」を参照してください。

  • アクション - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、clouddirectory:GetDirectory権限は、ユーザーにCloud Directory を実行するためのアクセス権限を付与します。GetDirectoryオペレーション.

  • 効果— ユーザーが特定のアクションをリクエストする際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル - アイデンティティベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。Cloud Directory では、リソースベースのポリシーはサポートされていません。

IAM ポリシーの構文と記述の詳細については、「」を参照してください。AWS IAM ポリシーのリファレンス()IAM ユーザーガイド

すべての Amazon Cloud Directory API アクションとそれらが適用されるリソースの表については、Amazon Cloud Directory API のアクセス許可: アクション、リソース、条件リファレンス

ポリシーでの条件の指定

アクセス権限を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。たとえば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、」条件()IAM ユーザーガイド

条件を表すには、あらかじめ定義された条件キーを使用します。Cloud Directory に固有の条件キーはありません。ただし、AWS 全体の条件キーがあり、必要に応じて使用できます。AWS 全体を対象とするすべてのキーのリストについては、「」を参照してください。使用できるグローバル条件キー()IAM ユーザーガイド