翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Identity and Access Management AWS CloudHSM
AWS は、セキュリティ認証情報を使用してユーザーを識別し、 AWSリソースへのアクセスを許可します。の機能を使用できます。 AWS Identity and Access Management (IAM) は、他のユーザー、サービス、およびアプリケーションがお客様のAWSリソースを完全または限定的な方法で使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。
デフォルトでは、IAMユーザーにはAWSリソースを作成、表示、または変更するアクセス許可はありません。IAM ユーザーがロードバランサーなどのリソースにアクセスしてタスクを実行できるようにするには、次の操作を行います。
-
必要な特定のリソースとAPIアクションを使用するアクセス許可をIAMユーザーに付与する IAMポリシーを作成します。
-
IAM ユーザーが属するIAMユーザーまたはグループにポリシーをアタッチします。
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
例えば、 IAMを使用して、AWSアカウントの下にユーザーとグループを作成できます。IAM ユーザーは、人、システム、またはアプリケーションです。次に、 IAMポリシーを使用して、指定されたリソースに対して特定のアクションを実行するアクセス許可をユーザーとグループに付与します。
IAM ポリシーを使用したアクセス許可の付与
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
IAM ポリシーは、1 つ以上のステートメントで構成されるJSONドキュメントです。各ステートメントは、次の例に示すように構成されます。
{ "Version": "2012-10-17", "Statement":[{ "Effect": "
effect
", "Action": "action
", "Resource": "resource-arn
", "Condition": { "condition
": { "key
":"value
" } } }] }
-
[Effect (効果)] — effect は、
Allow
またはDeny
にすることができます。デフォルトでは、IAMユーザーにはリソースとAPIアクションを使用するアクセス許可がないため、すべてのリクエストが拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に上書きされます。 -
アクション — アクションは、アクセス許可を付与または拒否する特定のAPIアクションです。アクション条件を指定する方法については、API の アクション AWS CloudHSM を参照してください。
-
[Resource (リソース)] — アクションによって影響を及ぼされるリソースです。 AWS CloudHSM はリソースレベルのアクセス許可をサポートしていません。すべての を指定するには、* ワイルドカードを使用する必要があります。 AWS CloudHSM リソースの使用料金を見積もることができます。
-
[Condition (条件)] — ポリシーが有効になるタイミングを制御する条件を必要に応じて使用できます。詳細については、「の条件キー AWS CloudHSM」を参照してください。
詳細については、「 IAMユーザーガイド」を参照してください。
API の アクション AWS CloudHSM
IAM ポリシーステートメントの Action 要素で、 API AWS CloudHSM オファー。次の例に示すように、アクション名の前に小文字の文字列 cloudhsm:
を指定する必要があります。
"Action": "cloudhsm:DescribeClusters"
1 つのステートメントで複数のアクションを指定するには、次の例に示すように、アクションをカンマで区切って全体を角括弧で囲みます。
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]
ワイルドカード (*) を使用して複数のアクションを指定することもできます。次の例では、 のすべてのAPIアクション名を指定します。 AWS CloudHSM で始まる List
。
"Action": "cloudhsm:List*"
のすべてのAPIアクションを指定するには AWS CloudHSM、次の例に示すように * ワイルドカードを使用します。
"Action": "cloudhsm:*"
のAPIアクションのリスト AWS CloudHSM、「」を参照してください。 AWS CloudHSM アクション 。
の条件キー AWS CloudHSM
ポリシーを作成するときは、ポリシーをいつ有効にするか制御する条件を指定できます。各条件には 1 つ以上のキーと値のペアが含まれます。グローバル条件キーとサービス固有の条件キーがあります。
AWS CloudHSM にはサービス固有のコンテキストキーはありません。
グローバル条件キーの詳細については、「 IAMユーザーガイドAWS」の「 グローバル条件コンテキストキー」を参照してください。
の定義済みAWS管理ポリシー AWS CloudHSM
によって作成された マネージドポリシーは、一般的なユースケースに必要なアクセス許可AWSを付与します。これらのポリシーは、 へのアクセスに基づいてIAMユーザーにアタッチできます。 AWS CloudHSM 以下が必要です。
-
AWSCloudHSMFullAccess — を使用するために必要なフルアクセスを付与します AWS CloudHSM の機能。
-
AWSCloudHSMReadOnlyAccess — への読み取り専用アクセスを付与します AWS CloudHSM の機能。
のカスタマー管理ポリシー AWS CloudHSM
のIAM管理者グループを作成することをお勧めします。 AWS CloudHSM の実行に必要なアクセス許可のみを含む AWS CloudHSM。 このグループに適切なアクセス許可を持つポリシーをアタッチします。必要に応じて、グループにIAMユーザーを追加します。追加する各ユーザーは、管理者グループからポリシーを継承します。
また、ユーザーが必要とする権限に基づいて、追加のユーザーグループを作成することをお勧めします。これにより、信頼されたユーザーのみが重要なAPIアクションにアクセスできます。例えば、クラスターと への読み取り専用アクセスを許可するために使用するユーザーグループを作成できますHSMs。このグループではユーザーがクラスターまたは を削除できないためHSMs、信頼できないユーザーは本番ワークロードの可用性に影響を与えることはできません。
新規として AWS CloudHSM 管理機能は時間の経過とともに追加されるため、信頼されたユーザーのみがすぐにアクセスできるようになります。作成時に、制限付きのアクセス許可をポリシーに割り当てることで、後に新しい機能のアクセス許可を手動でユーザーに割り当てることができます。
以下は、 のポリシーの例です。 AWS CloudHSM。 ポリシーを作成してIAMユーザーグループにアタッチする方法については、 IAM ユーザーガイドのJSON「 タブでのポリシーの作成」を参照してください。
例: 読み取り専用アクセス許可
このポリシーは、 DescribeClusters
および DescribeBackups
APIアクションへのアクセスを許可します。また、特定の Amazon EC2APIアクションに対する追加のアクセス許可も含まれています。ユーザーがクラスターまたは を削除することはできませんHSMs。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
例: パワーユーザーのアクセス許可
このポリシーは、 のサブセットへのアクセスを許可します。 AWS CloudHSM API アクション。また、特定の Amazon EC2アクションに対する追加のアクセス許可も含まれています。ユーザーがクラスターまたは を削除することはできませんHSMs。を許可するには、 iam:CreateServiceLinkedRole
アクションを含める必要があります AWS CloudHSM アカウントでAWSServiceRoleForCloudHSMサービスにリンクされたロールを自動的に作成します。このロールでは、 AWS CloudHSM イベントをログに記録する 。詳細については、「のサービスにリンクされたロール AWS CloudHSM」を参照してください。
注記
各 の特定のアクセス許可を確認するにはAPI、「 のアクション、リソース、および条件キー」を参照してください。 AWS CloudHSM 「サービス認証リファレンス」の「」。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
例: 管理者権限
このポリシーは、すべての へのアクセスを許可します。 AWS CloudHSM API および HSMsクラスターを削除するアクションを含む アクション。また、特定の Amazon EC2アクションに対する追加のアクセス許可も含まれています。を許可するには、 iam:CreateServiceLinkedRole
アクションを含める必要があります AWS CloudHSM アカウントでAWSServiceRoleForCloudHSMサービスにリンクされたロールを自動的に作成します。このロールでは、 AWS CloudHSM イベントをログに記録する 。詳細については、「のサービスにリンクされたロール AWS CloudHSM」を参照してください。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }