翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のアクセス管理 AWS DataSync
<a name="managing-access-overview"></a>

すべての AWS リソースは によって所有されます AWS アカウント。リソースを作成またはアクセスするためのアクセス許可は、アクセス許可ポリシーで管理されます。アカウント管理者は、 AWS Identity and Access Management (IAM) ID にアクセス許可ポリシーをアタッチできます。一部のサービス ( など AWS Lambda) では、リソースへのアクセス許可ポリシーのアタッチもサポートされています。

**注記**  
*アカウント管理者*は、 AWS アカウントの管理者権限を持つユーザーです。詳細については、「*IAM ユーザーガイド*」の「[IAM ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

**Topics**
+ [DataSync リソースおよびオペレーション](#access-control-specify-datasync-actions)
+ [リソース所有権についての理解](#access-control-owner)
+ [リソースへのアクセスの管理](#access-control-managing-permissions)
+ [ポリシー要素の指定: アクション、効果、リソース、プリンシパル](#policy-elements)
+ [ポリシーの条件の指定](#specifying-conditions)
+ [VPC エンドポイントポリシーの作成](#endpoint-policy-example)

## DataSync リソースおよびオペレーション
<a name="access-control-specify-datasync-actions"></a>

DataSync では、プライマリリソースは、エージェント、ロケーション、タスク、およびタスクの実行です。

これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。


| リソースタイプ | ARN 形式 | 
| --- | --- | 
|  エージェント ARN  |  `arn:aws:datasync:region:account-id:agent/agent-id`  | 
| 場所 ARN |  `arn:aws:datasync:region:account-id:location/location-id`  | 
| タスク ARN |  `arn:aws:datasync:region:account-id:task/task-id `  | 
| タスクの実行 ARN |  `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id`  | 

タスクの作成などの特定の API オペレーションに対するアクセス権限を付与するために、DataSync ではアクセス権限ポリシーで指定できる一連のアクションが定義されています。1 つの API オペレーションには複数のアクションのためのアクセス権限を付与することが必要になる場合があります。

## リソース所有権についての理解
<a name="access-control-owner"></a>

*リソース所有者*は、リソース AWS アカウント を作成した です。つまり、リソース所有者は、リソースを作成するリクエストを認証する*プリンシパルエンティティ* (IAM ロールなど) AWS アカウント の です。次の例は、この挙動の仕組みを示しています。
+ のルートアカウントの認証情報を使用してタスク AWS アカウント を作成する場合、 AWS アカウント はリソースの所有者です (DataSync では、リソースはタスクです）。
+ で IAM ロールを作成し AWS アカウント 、そのユーザーに `CreateTask`アクションへのアクセス許可を付与すると、ユーザーはタスクを作成できます。ただし、ユーザーが属する AWS アカウントはタスクリソースを所有しています。
+ タスクを作成するアクセス許可 AWS アカウント を持つ で IAM ロールを作成する場合、ロールを引き受けることができるすべてのユーザーがタスクを作成できます。ロールが属 AWS アカウントする がタスクリソースを所有します。

## リソースへのアクセスの管理
<a name="access-control-managing-permissions"></a>

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

**注記**  
このセクションでは、DataSync のコンテキストにおける IAM の使用について説明します。ここでは、IAM サービスに関する詳細情報を提供しません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「[What is IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」(IAM とは？) を参照してください。IAM ポリシーの構文の詳細と説明については、 [IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)の *AWS Identity and Access Management IAM ポリシーリファレンス* を参照してください。

IAM ID にアタッチされたポリシーは *ID ベース*のポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーは*リソースベース*のポリシーと呼ばれます。DataSync サポートは、アイデンティティベースのポリシー (IAM ポリシー) のみをサポートします。

**Topics**
+ [アイデンティティベースのポリシー](#identity-based-policies)
+ [リソースベースのポリシー](#resource-based-policies)

### アイデンティティベースのポリシー
<a name="identity-based-policies"></a>

DataSync リソースアクセスは IAM ポリシーで管理できます。これらのポリシーは、 AWS アカウント 管理者が DataSync を使用して以下を実行するのに役立ちます。
+ **DataSync リソースを作成および管理するためのアクセス許可を付与する** – の IAM ロールがエージェント、ロケーション、タスクなどの DataSync リソースを作成および管理 AWS アカウント できるようにする IAM ポリシーを作成します。
+ **別の AWS アカウント または のロールにアクセス許可を付与 AWS のサービス**する – 別の AWS アカウント または の IAM ロールにアクセス許可を付与する IAM ポリシーを作成します AWS のサービス。例えば、次のようになります。

  1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに許可を付与するロールに許可ポリシーをアタッチします。

  1. アカウント Aの管理者は、アカウントBをそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーを添付します。

     ロールを引き受ける AWS のサービス アクセス許可を付与するために、アカウント A 管理者は信頼ポリシーでプリンシパル AWS のサービス として を指定できます。

  1. 次に、アカウント B の管理者は、ロールを引き受けるアクセス許可をアカウント B のすべてのユーザーに委任できます。これにより、アカウント B のユーザーはアカウント A でリソースを作成したり、リソースにアクセスしたりできます。

  IAM を使用したアクセス許可の委任の詳細については、*IAM ユーザーガイド* の [アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) を参照してください。

すべてのリソースのすべての `List*` アクションにアクセス権限を付与するポリシーの例を次に示します。このアクションは読み取り専用のアクションで、リソースを変更することはできません。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

DataSync でアイデンティティベースのポリシーを使用する場合の詳細については、「[AWS 管理ポリシー](security-iam-awsmanpol.md)」と「[カスタマー管理ポリシー](using-identity-based-policies.md)」を参照してください。IAM アイデンティティの詳細については、「[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。

### リソースベースのポリシー
<a name="resource-based-policies"></a>

Amazon S3 などの他のサービスでは、リソースベースのアクセス権限ポリシーもサポートしています。例えば、ポリシーを Amazon S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。ただし、DataSync では、リソースベースのポリシー をサポートしていません。

## ポリシー要素の指定: アクション、効果、リソース、プリンシパル
<a name="policy-elements"></a>

サービスは DataSync リソースごとに一連の API オペレーションを定義します (「[Actions](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html)」を参照してください)。こうした API オペレーションへの許可を付与するために、DataSync はポリシーに指定できる一連のアクションを定義します。例えば、DataSyncリソースに対して、以下のアクションを定義します: `CreateTask`、`DeleteTask`、および `DescribeTask`。1 つの API オペレーションの実行で、複数のアクションのアクセス権限が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。
+ **リソース** – ポリシーでは、ポリシーが適用されるリソースを特定するために Amazon リソースネーム (ARN) を使用します。DataSync のリソースでは、IAM ポリシーでワイルドカードの文字 `(*)` を使用できます。詳細については、「[DataSync リソースおよびオペレーション](#access-control-specify-datasync-actions)」を参照してください。
+ **アクション** – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。たとえば、指定した `Effect` エレメントに応じて、`datasync:CreateTask` アクセス権限では、DataSync `CreateTask` オペレーションの実行をユーザーに許可または拒否します。
+ **効果** – ユーザーが特定のアクションを要求する際の効果を指定します。`Allow` または `Deny` のいずれかになります。(`Allow`) リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってそのユーザーのアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。詳細については、「*IAM ユーザーガイド*」の「[Authorization](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization)」を参照してください。
+ **プリンシパル** - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。DataSync では、リソースベースのポリシー をサポートしていません。

IAM ポリシーの構文と説明の詳細は [*IAM ユーザーガイド *のAWS Identity and Access Management ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)を参照してください。

## ポリシーの条件の指定
<a name="specifying-conditions"></a>

アクセス権限を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になるために必要とされる条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[IAM JSON policy element reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。DataSync に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 幅広い条件キーがあります。 AWS ワイドキーの完全なリストについては、*IAM ユーザーガイド*の[「使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。

## VPC エンドポイントポリシーの作成
<a name="endpoint-policy-example"></a>

VPC エンドポイントポリシーは、DataSync VPC サービスエンドポイントと FIPS 対応 VPC サービスエンドポイントを介して DataSync API オペレーションへのアクセスを制御するのに役立ちます。VPC エンドポイントポリシーを使用すると、`CreateTask` や `StartTaskExecution` などの VPC サービスエンドポイントを介してアクセスされる特定の DataSync API アクションを制限できます。

エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。

詳細については、「[エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。

**ポリシーの例**  
以下は、エンドポイントポリシーの例です。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
          "datasync:CreateTask",
          "datasync:StartTaskExecution",
          "datasync:DescribeTask"
        ],
        "Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
     }
   ]
}
```