Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

のアクセス管理 AWS DataSync

PDF
RSS
フォーカスモード
のアクセス管理 AWS DataSync - AWS DataSync
DataSync リソースおよびオペレーションリソース所有権についての理解リソースへのアクセスの管理ポリシー要素の指定: アクション、効果、リソース、プリンシパルポリシーの条件の指定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

すべての AWS リソースは によって所有されます AWS アカウント。リソースを作成またはアクセスするためのアクセス許可は、アクセス許可ポリシーで管理されます。アカウント管理者は、 AWS Identity and Access Management (IAM) ID にアクセス許可ポリシーをアタッチできます。一部の サービス ( など AWS Lambda) では、リソースへのアクセス許可ポリシーのアタッチもサポートされています。

注記

「アカウント管理者」は、 AWS アカウントの管理者権限を持つユーザーです。詳細については、「IAM ユーザーガイド」の「IAM ベストプラクティス」を参照してください。

DataSync リソースおよびオペレーション

DataSync では、プライマリリソースは、エージェント、ロケーション、タスク、およびタスクの実行です。

これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ ARN 形式

エージェント ARN

arn:aws:datasync:region:account-id:agent/agent-id
場所 ARN

arn:aws:datasync:region:account-id:location/location-id
タスク ARN

arn:aws:datasync:region:account-id:task/task-id

タスクの実行 ARN

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

タスクの作成などの特定の API オペレーションに対するアクセス権限を付与するために、DataSync ではアクセス権限ポリシーで指定できる一連のアクションが定義されています。1 つの API オペレーションには複数のアクションのためのアクセス権限を付与することが必要になる場合があります。すべての DataSync API アクションとそれらが適用されるリソースのリストについては、「DataSync API アクセス権限: アクションおよびリソース」を参照してください。

リソース所有権についての理解

リソース所有者は、リソース AWS アカウント を作成した です。つまり、リソース所有者は、リソースを作成するリクエストを認証するプリンシパルエンティティ (IAM ロールなど) AWS アカウント の です。次の例は、この挙動の仕組みを示しています。

  • のルートアカウントの認証情報を使用してタスク AWS アカウント を作成する場合、 AWS アカウント はリソースの所有者です (DataSync では、リソースはタスクです)。

  • で IAM ロールを作成し AWS アカウント 、そのユーザーに CreateTaskアクションへのアクセス許可を付与すると、ユーザーはタスクを作成できます。ただし、ユーザーが属する AWS アカウントはタスクリソースを所有しています。

  • タスクを作成するアクセス許可 AWS アカウント を持つ に IAM ロールを作成する場合、ロールを引き受けることのできるいずれのユーザーもタスクを作成できます。ロールが属 AWS アカウントする がタスクリソースを所有します。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、DataSync のコンテキストにおける IAM の使用について説明します。ここでは、IAM サービスに関する詳細情報を提供しません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「What is IAM?」(IAM とは?) を参照してください。IAM ポリシーの構文の詳細と説明については、 IAM ユーザーガイドAWS Identity and Access Management IAM ポリシーリファレンス を参照してください。

IAM ID にアタッチされたポリシーは ID ベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。DataSync サポートは、アイデンティティベースのポリシー (IAM ポリシー) のみをサポートします。

アイデンティティベースのポリシー

DataSync リソースアクセスは IAM ポリシーで管理できます。これらのポリシーは、 AWS アカウント 管理者が DataSync を使用して以下を実行するのに役立ちます。

  • DataSync リソースを作成および管理するためのアクセス許可を付与する – の IAM ロールがエージェント、ロケーション、タスクなどの DataSync リソースを作成および管理 AWS アカウント できるようにする IAM ポリシーを作成します。

  • 別の AWS アカウント または のロールにアクセス許可を付与 AWS のサービスする – 別の AWS アカウント または の IAM ロールにアクセス許可を付与する IAM ポリシーを作成します AWS のサービス。以下に例を示します。

    1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに許可を付与するロールに許可ポリシーをアタッチします。

    2. アカウント Aの管理者は、アカウントBをそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーを添付します。

      ロールを引き受けるアクセス AWS のサービス 許可を付与するために、アカウント A の管理者は、信頼ポリシーでプリンシパル AWS のサービス として を指定できます。

    3. 次に、アカウント B の管理者は、ロールを引き受けるアクセス許可をアカウント B のすべてのユーザーに委任できます。これにより、アカウント B のユーザーはアカウント A でリソースを作成したり、リソースにアクセスしたりできます。

    IAM を使用したアクセス許可の委任の詳細については、「IAM ユーザーガイド」の「アクセス管理」を参照してください。

すべてのリソースのすべての List* アクションにアクセス権限を付与するポリシーの例を次に示します。このアクションは読み取り専用のアクションで、リソースを変更することはできません。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

DataSync でアイデンティティベースのポリシーを使用する場合の詳細については、「AWS 管理ポリシー」と「カスタマー管理ポリシー」を参照してください。IAM アイデンティティの詳細については、「IAM ユーザーガイド」を参照してください。

リソースベースのポリシー

Amazon S3 などの他のサービスでは、リソースベースのアクセス権限ポリシーもサポートしています。例えば、ポリシーを Amazon S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。ただし、DataSync では、リソースベースのポリシー をサポートしていません。

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

サービスは、DataSync リソースごとに (DataSync API アクセス権限: アクションおよびリソースを参照)、一連の API オペレーションを定義します (アクションを参照してください)。こうした API オペレーションへの許可を付与するために、DataSync はポリシーに指定できる一連のアクションを定義します。例えば、DataSyncリソースに対して、以下のアクションを定義します: CreateTaskDeleteTask、および DescribeTask。1 つの API オペレーションの実行で、複数のアクションのアクセス権限が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。

  • リソース – ポリシーでは、ポリシーが適用されるリソースを特定するために Amazon リソースネーム (ARN) を使用します。DataSync のリソースでは、IAM ポリシーでワイルドカードの文字 (*) を使用できます。詳細については、「DataSync リソースおよびオペレーション」を参照してください。

  • アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。たとえば、指定した Effect エレメントに応じて、datasync:CreateTask アクセス権限では、DataSync CreateTask オペレーションの実行をユーザーに許可または拒否します。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。Allow または Deny のいずれかになります。(Allow) リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってそのユーザーのアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。詳細については、「IAM ユーザーガイド」の「Authorization」を参照してください。

  • プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。DataSync では、リソースベースのポリシー をサポートしていません。

IAM ポリシーの構文と説明の詳細は IAM ユーザーガイド のAWS Identity and Access Management ポリシーリファレンスを参照してください。

すべての DataSync API アクションを示す表については、「DataSync API アクセス権限: アクションおよびリソース」を参照してください。

ポリシーの条件の指定

アクセス権限を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になるために必要とされる条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。DataSync に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 幅広い条件キーがあります。 AWS ワイドキーの完全なリストについては、「IAM ユーザーガイド」の「使用可能なキー」を参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.