Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要 - Amazon Comprehend Medical
アクションへのアクセスの管理ポリシー要素 (アクション、効果、プリンシパル) の指定ポリシーの条件の指定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要

アクションへのアクセスは、アクセス許可ポリシーによって管理されます。アカウント管理者は、アクセス許可ポリシーを IAM ID にアタッチして、アクションへのアクセスを管理します。IAM ID には、ユーザー、グループ、ロールが含まれます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、IAM ユーザーガイドの「Word のベストプラクティス」を参照してください。 IAM

アクセス許可を付与するときは、アクセス許可を付与するユーザーとアクションの両方を決定します。

アクションへのアクセスの管理

アクセスポリシーは、誰が何に対するアクセス権を持っているのかを説明します。以下のセクションで、アクセス許可ポリシーのオプションについて説明します。

注記

このセクションでは、Amazon Comprehend Medical のコンテキストにおける IAM について説明します。IAM サービスに関する詳細情報は提供されません。IAM の詳細については、IAM ユーザーガイドの「What is Word?」を参照してください。 IAM IAM ポリシーの構文と説明については、AWS ユーザーガイドのIAM「Word ポリシーリファレンス」を参照してください。 IAM

IAM ID にアタッチされたポリシーは、アイデンティティベースのポリシーです。リソースにアタッチされたポリシーは、リソースベースのポリシーです。Amazon Comprehend Medical では、アイデンティティベースのポリシーのみがサポートされています。

ID ベースのポリシー (IAM ポリシー)

IAM ID にポリシーをアタッチできます。これらはその 2 つの例です。

  • アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする。ユーザーまたはユーザーのグループが Amazon Comprehend Medical アクションを呼び出すことができるようにするには、アクセス許可ポリシーをユーザーにアタッチします。ユーザーが含まれているグループにポリシーをアタッチします。

  • ロールにアクセス許可ポリシーをアタッチし、クロスアカウントのアクセス許可を付与する クロスアカウントアクセス許可を付与するには、アイデンティティベースのポリシーを IAM ロールにアタッチします。例えば、アカウント A の管理者は、別のアカウントにクロスアカウントのアクセス許可を付与するロールを作成できます。この例では、アカウント B と呼びます。これは AWS サービスである場合もあります。

    1. アカウント管理者は IAM ロールを作成し、アカウント A のリソースにアクセス許可を付与するポリシーをそのロールにアタッチします。

    2. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。

    3. アカウント B 管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーはアカウント A のリソースを作成またはアクセスできるようになります。ロールを引き受けるアクセス許可を AWS サービスに付与する場合は、信頼ポリシーのプリンシパルも AWS サービスプリンシパルになることができます。

    IAM を使用してアクセス許可を委任する方法の詳細については、IAM ユーザーガイド「アクセス管理」を参照してください。

Amazon Comprehend Medical でアイデンティティベースのポリシーを使用する場合の詳細については、「Amazon Comprehend Medical での Identity-Based ポリシー (IAM ポリシー) の使用」を参照してください。ユーザー、グループ、ロール、アクセス許可の詳細については、IAM ユーザーガイド「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

リソースベースのアクセス許可ポリシーなど AWS Lambda、その他のサービスもサポートしています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Comprehend Medical では、リソースベースのポリシーはサポートされていません。

ポリシー要素 (アクション、効果、プリンシパル) の指定

Amazon Comprehend Medical は、一連の API オペレーションを定義します。これらの API オペレーションのアクセス許可を付与するために、Amazon Comprehend Medical はポリシーで指定できる一連のアクションを定義します。

以下の 4 つの項目は、最も基本的なポリシー要素です。

  • リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。Amazon Comprehend Medical の場合、リソースは常に "*" です。

  • アクション – アクションのキーワードを使用して、許可または拒否するオペレーションを識別します。例えば、指定した効果に応じて、comprehendmedical:DetectEntities は Amazon Comprehend Medical DetectEntities オペレーションを実行するためのアクセス許可をユーザーに付与または拒否します。

  • 効果 - ユーザーが特定のアクションをリクエストしたときに起きるアクションの効果 (許可または拒否のいずれか) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。リソースへのアクセスを明示的に拒否することもできます。これにより、別のポリシーでアクセスが許可されている場合でも、ユーザーがリソースにアクセスすることを禁止できます。

  • プリンシパル - アイデンティティベースのポリシーで、ポリシーがアタッチされているユーザーが黙示のプリンシパルになります。

IAM ポリシーの構文と説明の詳細については、AWS ユーザーガイドのIAM「Word ポリシーリファレンス」を参照してください。 IAM

Amazon Comprehend Medical API のすべてのアクションを示す表については、「」を参照してくださいAmazon Comprehend Medical API アクセス許可: アクション、リソース、条件リファレンス

ポリシーの条件の指定

アクセス許可を付与するときは、IAM ポリシー言語を使用して、ポリシーを有効にする条件を指定します。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語で条件を指定する方法の詳細については、IAM ユーザーガイド「条件」を参照してください。

AWS は、アクセスコントロール用の AWS をサポートするすべての IAM サービスに対して、一連の事前定義された条件キーを提供します。例えば、 aws:userid条件キーを使用して、アクションをリクエストするときに特定の AWS ID を要求できます。Word キーの詳細と完全なリストについては、AWS IAMユーザーガイド「条件に使用可能なキー」を参照してください。

Amazon Comprehend Medical では、追加の条件キーが提供されません。