翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# での ID とアクセスの管理 AWS DataSync
AWS はセキュリティ認証情報を使用してユーザーを識別し、 AWS リソースへのアクセスを許可します。 AWS Identity and Access Management (IAM) の機能を使用すると、セキュリティ認証情報を共有することなく、他のユーザー、サービス、およびアプリケーションが AWS リソースを完全にまたは制限付きで使用できるようになります。
デフォルトでは、IAM ID (ユーザー、グループ、ロール) には、 AWS リソースを作成、表示、または変更するアクセス許可はありません。ユーザー、グループ、ロールが AWS DataSync リソースにアクセスして DataSync コンソールと API とやり取りできるようにするには、必要な特定のリソースと API アクションを使用するアクセス許可を付与する IAM ポリシーを使用することをお勧めします。次に、アクセスを必要とする IAM アイデンティティにポリシーをアタッチします。ポリシーの基本要素の概要については、「[のアクセス管理 AWS DataSync](managing-access-overview.md)」を参照してください。
**Topics**
+ [のアクセス管理 AWS DataSync](managing-access-overview.md)
+ [AWS の 管理ポリシー AWS DataSync](security-iam-awsmanpol.md)
+ [の IAM カスタマー管理ポリシー AWS DataSync](using-identity-based-policies.md)
+ [DataSync のサービスにリンクされたロールの使用](using-service-linked-roles.md)
+ [作成時に DataSync リソースにタグ付けするためのアクセス許可](supported-iam-actions-tagging.md)
+ [サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)
# のアクセス管理 AWS DataSync
すべての AWS リソースは によって所有されます AWS アカウント。リソースを作成またはアクセスするためのアクセス許可は、アクセス許可ポリシーで管理されます。アカウント管理者は、 AWS Identity and Access Management (IAM) ID にアクセス許可ポリシーをアタッチできます。一部のサービス ( など AWS Lambda) では、リソースへのアクセス許可ポリシーのアタッチもサポートされています。
**注記**
*アカウント管理者*は、 AWS アカウントの管理者権限を持つユーザーです。詳細については、「*IAM ユーザーガイド*」の「[IAM ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
**Topics**
+ [DataSync リソースおよびオペレーション](#access-control-specify-datasync-actions)
+ [リソース所有権についての理解](#access-control-owner)
+ [リソースへのアクセスの管理](#access-control-managing-permissions)
+ [ポリシー要素の指定: アクション、効果、リソース、プリンシパル](#policy-elements)
+ [ポリシーの条件の指定](#specifying-conditions)
+ [VPC エンドポイントポリシーの作成](#endpoint-policy-example)
## DataSync リソースおよびオペレーション
DataSync では、プライマリリソースは、エージェント、ロケーション、タスク、およびタスクの実行です。
これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。
| リソースタイプ | ARN 形式 |
| --- | --- |
| エージェント ARN | `arn:aws:datasync:region:account-id:agent/agent-id` |
| 場所 ARN | `arn:aws:datasync:region:account-id:location/location-id` |
| タスク ARN | `arn:aws:datasync:region:account-id:task/task-id ` |
| タスクの実行 ARN | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
タスクの作成などの特定の API オペレーションに対するアクセス権限を付与するために、DataSync ではアクセス権限ポリシーで指定できる一連のアクションが定義されています。1 つの API オペレーションには複数のアクションのためのアクセス権限を付与することが必要になる場合があります。
## リソース所有権についての理解
*リソース所有者*は、リソース AWS アカウント を作成した です。つまり、リソース所有者は、リソースを作成するリクエストを認証する*プリンシパルエンティティ* (IAM ロールなど) AWS アカウント の です。次の例は、この挙動の仕組みを示しています。
+ のルートアカウントの認証情報を使用してタスク AWS アカウント を作成する場合、 AWS アカウント はリソースの所有者です (DataSync では、リソースはタスクです)。
+ で IAM ロールを作成し AWS アカウント 、そのユーザーに `CreateTask`アクションへのアクセス許可を付与すると、ユーザーはタスクを作成できます。ただし、ユーザーが属する AWS アカウントはタスクリソースを所有しています。
+ タスクを作成するアクセス許可 AWS アカウント を持つ で IAM ロールを作成する場合、ロールを引き受けることができるすべてのユーザーがタスクを作成できます。ロールが属 AWS アカウントする がタスクリソースを所有します。
## リソースへのアクセスの管理
アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
**注記**
このセクションでは、DataSync のコンテキストにおける IAM の使用について説明します。ここでは、IAM サービスに関する詳細情報を提供しません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「[What is IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」(IAM とは?) を参照してください。IAM ポリシーの構文の詳細と説明については、 [IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)の *AWS Identity and Access Management IAM ポリシーリファレンス* を参照してください。
IAM ID にアタッチされたポリシーは *ID ベース*のポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーは*リソースベース*のポリシーと呼ばれます。DataSync サポートは、アイデンティティベースのポリシー (IAM ポリシー) のみをサポートします。
**Topics**
+ [アイデンティティベースのポリシー](#identity-based-policies)
+ [リソースベースのポリシー](#resource-based-policies)
### アイデンティティベースのポリシー
DataSync リソースアクセスは IAM ポリシーで管理できます。これらのポリシーは、 AWS アカウント 管理者が DataSync を使用して以下を実行するのに役立ちます。
+ **DataSync リソースを作成および管理するためのアクセス許可を付与する** – の IAM ロールがエージェント、ロケーション、タスクなどの DataSync リソースを作成および管理 AWS アカウント できるようにする IAM ポリシーを作成します。
+ **別の AWS アカウント または のロールにアクセス許可を付与 AWS のサービス**する – 別の AWS アカウント または の IAM ロールにアクセス許可を付与する IAM ポリシーを作成します AWS のサービス。例えば、次のようになります。
1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに許可を付与するロールに許可ポリシーをアタッチします。
1. アカウント Aの管理者は、アカウントBをそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーを添付します。
ロールを引き受ける AWS のサービス アクセス許可を付与するために、アカウント A 管理者は信頼ポリシーでプリンシパル AWS のサービス として を指定できます。
1. 次に、アカウント B の管理者は、ロールを引き受けるアクセス許可をアカウント B のすべてのユーザーに委任できます。これにより、アカウント B のユーザーはアカウント A でリソースを作成したり、リソースにアクセスしたりできます。
IAM を使用したアクセス許可の委任の詳細については、*IAM ユーザーガイド* の [アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) を参照してください。
すべてのリソースのすべての `List*` アクションにアクセス権限を付与するポリシーの例を次に示します。このアクションは読み取り専用のアクションで、リソースを変更することはできません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
DataSync でアイデンティティベースのポリシーを使用する場合の詳細については、「[AWS 管理ポリシー](security-iam-awsmanpol.md)」と「[カスタマー管理ポリシー](using-identity-based-policies.md)」を参照してください。IAM アイデンティティの詳細については、「[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。
### リソースベースのポリシー
Amazon S3 などの他のサービスでは、リソースベースのアクセス権限ポリシーもサポートしています。例えば、ポリシーを Amazon S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。ただし、DataSync では、リソースベースのポリシー をサポートしていません。
## ポリシー要素の指定: アクション、効果、リソース、プリンシパル
サービスは DataSync リソースごとに一連の API オペレーションを定義します (「[Actions](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html)」を参照してください)。こうした API オペレーションへの許可を付与するために、DataSync はポリシーに指定できる一連のアクションを定義します。例えば、DataSyncリソースに対して、以下のアクションを定義します: `CreateTask`、`DeleteTask`、および `DescribeTask`。1 つの API オペレーションの実行で、複数のアクションのアクセス権限が必要になる場合があります。
最も基本的なポリシーの要素を次に示します。
+ **リソース** – ポリシーでは、ポリシーが適用されるリソースを特定するために Amazon リソースネーム (ARN) を使用します。DataSync のリソースでは、IAM ポリシーでワイルドカードの文字 `(*)` を使用できます。詳細については、「[DataSync リソースおよびオペレーション](#access-control-specify-datasync-actions)」を参照してください。
+ **アクション** – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。たとえば、指定した `Effect` エレメントに応じて、`datasync:CreateTask` アクセス権限では、DataSync `CreateTask` オペレーションの実行をユーザーに許可または拒否します。
+ **効果** – ユーザーが特定のアクションを要求する際の効果を指定します。`Allow` または `Deny` のいずれかになります。(`Allow`) リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってそのユーザーのアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。詳細については、「*IAM ユーザーガイド*」の「[Authorization](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization)」を参照してください。
+ **プリンシパル** - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。DataSync では、リソースベースのポリシー をサポートしていません。
IAM ポリシーの構文と説明の詳細は [*IAM ユーザーガイド *のAWS Identity and Access Management ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)を参照してください。
## ポリシーの条件の指定
アクセス権限を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になるために必要とされる条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[IAM JSON policy element reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。DataSync に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 幅広い条件キーがあります。 AWS ワイドキーの完全なリストについては、*IAM ユーザーガイド*の[「使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。
## VPC エンドポイントポリシーの作成
VPC エンドポイントポリシーは、DataSync VPC サービスエンドポイントと FIPS 対応 VPC サービスエンドポイントを介して DataSync API オペレーションへのアクセスを制御するのに役立ちます。VPC エンドポイントポリシーを使用すると、`CreateTask` や `StartTaskExecution` などの VPC サービスエンドポイントを介してアクセスされる特定の DataSync API アクションを制限できます。
エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
詳細については、「[エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。
**ポリシーの例**
以下は、エンドポイントポリシーの例です。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS の 管理ポリシー AWS DataSync
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS のサービス AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。たとえば、 `ReadOnlyAccess` AWS 管理ポリシーは、すべての AWS のサービス および リソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS 管理ポリシー: AWSDataSyncReadOnlyAccess
`AWSDataSyncReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーでは、DataSync に対する読み取り専用アクセスを付与します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html)」を参照してください。
## AWS 管理ポリシー: AWSDataSyncFullAccess
`AWSDataSyncFullAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、DataSync の管理アクセス許可を付与し、サービス AWS マネジメントコンソール へのアクセスに必要です。 は、DataSync API オペレーション、および関連リソース (Amazon S3 バケット、Amazon EFS ファイルシステム、 AWS KMS キー、Secrets Manager シークレットなど) とやり取りするオペレーションへのフルアクセス`AWSDataSyncFullAccess`を提供します。このポリシーは、ロググループの作成、リソースポリシーの作成または更新など、Amazon CloudWatch のアクセス権限も付与します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html)」を参照してください。
## AWS 管理ポリシー: AWSDataSyncServiceRolePolicy
`AWSDataSyncServiceRolePolicy` ポリシーは IAM ID に適用できません。このポリシーは、ユーザーに代わって DataSync がアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「[DataSync のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
このポリシーは、サービスリンクロールが拡張モードを使用して DataSync タスクの Amazon CloudWatch Logs を作成できるようにする管理権限を付与します。
## ポリシーの更新
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 変更 | DataSync が `AWSDataSyncFullAccess` のアクセス許可ステートメントを変更しました。 更新されたステートメントは、DataSync が Secrets Manager シークレットを作成するために使用するアクセス許可からタグ付け条件を削除します。 | 2025 年 5 月 13 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 変更 | DataSync は `AWSDataSyncFullAccess` に新しい権限を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/security-iam-awsmanpol.html) これらのアクセス許可により、DataSync は AWS Secrets Manager シークレットを作成、編集、削除できます。 | 2025 年 5 月 7 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 変更 | DataSync は `AWSDataSyncFullAccess` に新しい権限を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/security-iam-awsmanpol.html) これらのアクセス許可により、DataSync は AWS Secrets Manager AWS KMS キーに関連付けられたエイリアスを含む、シークレットとキーに関するメタデータを取得できます。 | 2025 年 4 月 23 日 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) - 変更 | DataSync は、DataSync サービスリンクロール `AWSServiceRoleForDataSync` で使用される `AWSDataSyncServiceRolePolicy` ポリシーに新しいアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/security-iam-awsmanpol.html) これらのアクセス許可により、DataSync は によって管理されるシークレットのメタデータと値を読み取ります AWS Secrets Manager。 | 2025 年 4 月 15 日 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) - 新しいポリシー | DataSync は、DataSync サービスリンクロール `AWSServiceRoleForDataSync` で使用されるポリシーを追加しました。この新しい管理ポリシーは、拡張モードを使用する DataSync タスクの Amazon CloudWatch Logs を自動的に作成します。 | 2024 年 10 月 30 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 変更 | DataSync が `AWSDataSyncFullAccess` に新しいアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/security-iam-awsmanpol.html) このアクセス許可により、DataSync はサービスリンクロールを作成できます。 | 2024 年 10 月 30 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 変更 | DataSync が `AWSDataSyncFullAccess` に新しいアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/security-iam-awsmanpol.html) このアクセス許可により、 AWS リージョン間の転送用に DataSync タスクを作成するときに、オプトインのリージョンを選択することができます。 | 2024 年 7 月 22 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 変更 | DataSync が `AWSDataSyncFullAccess` に新しいアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/security-iam-awsmanpol.html) このアクセス許可により、[DataSync マニフェスト](transferring-with-manifest.md)の特定のバージョンを選択することができます。 | 2024 年 2 月 16 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) - 変更 | DataSync は `AWSDataSyncFullAccess` に新しい権限を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/security-iam-awsmanpol.html) これらのアクセス許可は、Amazon EFS、Amazon FSx for NetApp ONTAP、Amazon S3、S3 on Outposts の DataSync エージェントとロケーションを作成する際に役立ちます。 | 2023 年 5 月 2 日 |
| DataSyncが変更の追跡を開始しました | DataSync は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 1 日 |
# の IAM カスタマー管理ポリシー AWS DataSync
AWS 管理ポリシーに加えて、 の独自のアイデンティティベースのポリシーを作成し AWS DataSync 、それらのアクセス許可を必要とする AWS Identity and Access Management (IAM) ID にアタッチすることもできます。これは、独自の AWS アカウントで管理するスタンドアロンポリシーである、*カスタマー管理ポリシー*として知られています。
**重要**
開始する前に、DataSync リソースへのアクセスを管理するための基本概念とオプションについて学ぶことをお勧めします。詳細については、「[のアクセス管理 AWS DataSync](managing-access-overview.md)」を参照してください。
カスタマー管理ポリシーを作成するときは、特定の AWS リソースで使用できる DataSync オペレーションに関するステートメントを含めます。以下のポリシーの例には 2 つのステートメントがあります (両方のステートメントに `Action` および `Resource` 要素があることに注意してください)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
ポリシーのステートメントでは、以下を実行します。
+ 最初のステートメントでは、Amazon リソースネーム (ARN) をワイルドカード文字 (`*`) で指定することで、特定の転送タスクリソースに対して `datasync:DescribeTask` アクションを実行するアクセス権限を付与します。
+ 2 番目のステートメントでは、ワイルドカード文字 (`*`) のみを指定することで、すべてのタスクに対して `datasync:ListTasks` アクションを実行するアクセス権限を付与します。
## カスタマー管理ポリシーの例
カスタマー管理ポリシーの次の例では、さまざまな DataSync オペレーションの権限を付与します。( AWS Command Line Interface AWS CLI) または AWS SDK を使用している場合、ポリシーは機能します。これらのポリシーをコンソールで使用するには、管理ポリシー `AWSDataSyncFullAccess` も使用する必要があります。
**Topics**
+ [例 1: DataSync が Amazon S3 バケットにアクセスすることを許可する信頼関係を作成する](#datasync-example1)
+ [例 2: DataSyncに Amazon S3 バケットへの読み取りおよび書き込みを許可する](#datasync-example2)
+ [例 3: DataSync がログを CloudWatch ロググループにアップロードすることを許可する](#datasync-example4)
### 例 1: DataSync が Amazon S3 バケットにアクセスすることを許可する信頼関係を作成する
次に示すのは、DataSync が IAM ロールを引き受けることを許可する信頼ポリシーの例です。このロールは、DataSync が Amazon S3 バケットにアクセスすることを許可します。[サービス間の混乱による代理問題](cross-service-confused-deputy-prevention.md)の発生を防ぐため、ポリシーでは [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) と [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) のグローバル条件コンテキストキーを使用することをお勧めします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### 例 2: DataSyncに Amazon S3 バケットへの読み取りおよび書き込みを許可する
次のポリシーの例では、転送先の場所として使用されている S3 バケットに書き込みするために必要な最低限のアクセス許可を DataSync に付与しています。
**注記**
`aws:ResourceAccount` の値は、ポリシーで指定された Amazon S3 バケットを所有するアカウント ID である必要があります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### 例 3: DataSync がログを CloudWatch ロググループにアップロードすることを許可する
DataSync には、Amazon CloudWatch ロググループにログをアップロードするためのアクセス権限が必要です。CloudWatch ロググループを使用すると、タスクのモニタリングとデバッグができます。
このようなアクセス権限を付与する IAM ポリシーの例については、[DataSync が CloudWatch ロググループにログをアップロードすることを許可する](configure-logging.md#cloudwatchlogs) を参照してください。
# DataSync のサービスにリンクされたロールの使用
AWS DataSync は AWS Identity and Access Management (IAM) [ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、DataSync に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは DataSync によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
**Topics**
+ [DataSync でのロールの使用](using-service-linked-roles-service-action-2.md)
# DataSync でのロールの使用
AWS DataSync は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、DataSync に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは DataSync によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、DataSync の設定が簡単になります。DataSync は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、DataSync のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、DataSync リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
## DataSync のサービスリンクロールの許可
DataSync は、**AWSServiceRoleForDataSync** という名前のサービスにリンクされたロールを使用します。これによりDataSync は、シークレットの読み取り、CloudWatch ロググループとイベントの作成など AWS Secrets Manager、転送タスクの実行に不可欠なオペレーションを実行できます。
AWSServiceRoleForDataSync サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
+ `datasync.amazonaws.com`
サービスにリンクされたロールは、[AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy) という名前 AWS の管理ポリシーを使用します。これにより、DataSync は指定されたリソースに対して次のアクションを実行できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## DataSync のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で DataSync タスクを作成すると、DataSync によってサービスにリンクされたロールが作成されます。
AWS CLI または AWS API で、サービス名を使用して`datasync.amazonaws.com`サービスにリンクされたロールを作成できます。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。DataSync タスクを作成すると、DataSync によってサービスリンクロールが再度作成されます。
このサービスにリンクされたロールを削除する場合、この同じ IAM プロセスを使用して、もう一度ロールを作成できます。
## DataSync のサービスリンクロールの編集
DataSync では、AWSServiceRoleForDataSync サービスリンクロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## DataSync のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンク役割をクリーンアップする必要があります。
### サービスリンク役割のクリーンアップ
IAM を使用してサービスにリンクされた役割を削除するには最初に、その役割で使用されているリソースをすべて削除する必要があります。
**注記**
リソースを削除する際に、DataSync のサービスでロールが使用されている場合、削除が失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
**AWSServiceRoleForDataSync によって使用されている DataSync リソースを削除するには**
1. タスクによって使用されている[ DataSync エージェントを削除します](clean-up.md#deleting-agent) (存在する場合)。
1. [タスクのロケーションを削除します](clean-up.md#deleting-location)。
1. [タスクを削除します](clean-up.md#delete-task)。
### サービスリンク役割の手動による削除
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForDataSync サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## DataSync サービスリンクロールがサポートされるリージョン
DataSync は、サービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# 作成時に DataSync リソースにタグ付けするためのアクセス許可
一部のリソース作成 AWS DataSync API アクションでは、リソースの作成時にタグを指定できます。リソースタグを使用して、属性ベースのアクセスコントロール (ABAC) を実装できます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
ユーザーが作成時にリソースにタグを付けることができるようにするには、(`datasync:CreateAgent` や `datasync:CreateTask` などの) リソースを作成するアクションを使用するためのアクセス許可が必要です。リソース作成アクションでタグが指定されている場合、ユーザーは `datasync:TagResource` アクションを使用するための明示的な許可も持っている必要があります。
`datasync:TagResource` アクションはタグがリソース作成アクション時に適用された場合のみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持っているユーザー (タグ付け条件がないと仮定) には、`datasync:TagResource` アクションを実行するアクセス許可は必要ありません。
ただし、ユーザーがタグを使用してリソースを作成しようとした場合、ユーザーが `datasync:TagResource` アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。
## IAM ポリシーステートメントの例
次の IAM ポリシーステートメントの例を使用して、DataSync リソースを作成するユーザーに `TagResource` アクセス権限を付与します。
次のステートメントでは、ユーザーがエージェントを作成するときに DataSync エージェントにタグ付けすることができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
次のステートメントでは、ユーザーがロケーションを作成するときに DataSync のロケーションにタグ付けすることができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
次のステートメントでは、ユーザーがタスクを作成するときに DataSync タスクにタグ付けすることができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、 がリソースに別のサービス AWS DataSync に付与するアクセス許可を制限することをお勧めします。同じポリシーステートメントでこれらのグローバル条件コンテキストキーの両方を使用し、アカウント ID に`aws:SourceArn` の値が含まれていない場合、`aws:SourceAccount` 値と `aws:SourceArn` 値の中のアカウントには、同じアカウント ID を使用する必要があります。クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。クロスサービスが使用できるように、アカウント内の任意のリソースを関連づけたい場合は、`aws:SourceAccount` を使用します。
`aws:SourceArn` の値には、DataSync が IAM ロールを引き受けることができる DataSync 場所 ARN が含まれている必要があります。
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して `aws:SourceArn` キーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合には、不明な部分にワイルドカード文字 (`*`) を使用します。ここでは、DataSync でこれを行う方法についての例をいくつか紹介します。
+ 信頼ポリシーを既存の DataSync の場所に限定するには、ポリシーにフルロケーション ARN を含めてください。DataSync は、その特定の場所を処理する場合にのみ IAM ロールを引き受けます。
+ DataSync 用の Amazon S3 ロケーションを作成する場合、そのロケーションの ARN はわかりません。このようなシナリオでは、`aws:SourceArn` キーに次の形式を使用します: `arn:aws:datasync:us-east-2:123456789012:*` この形式はパーティション (`aws`)、アカウント ID、リージョンを検証します。
次の詳しい例では、信頼性ポリシーで `aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーを使用して、DataSync の混乱した代理問題を回避する方法を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
グローバル条件コンテキストキーの `aws:SourceArn` と `aws:SourceAccount` を DataSync と共に使用できることが分かるポリシーの例については、以下の各項目を参照してください。
+ [DataSync が Amazon S3 バケットにアクセスすることを許可する信頼関係を作成する](using-identity-based-policies.md#datasync-example1)
+ [Amazon S3 バケットにアクセスするための IAM ロールを設定する](create-s3-location.md#create-role-manually)