翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の IAM カスタマー管理ポリシー AWS DataSync
AWS 管理ポリシーに加えて、 の独自のアイデンティティベースのポリシーを作成し AWS DataSync 、それらのアクセス許可を必要とする AWS Identity and Access Management (IAM) ID にアタッチすることもできます。これは、独自の AWS アカウントで管理するスタンドアロンポリシーである、*カスタマー管理ポリシー*として知られています。
**重要**
開始する前に、DataSync リソースへのアクセスを管理するための基本概念とオプションについて学ぶことをお勧めします。詳細については、「[のアクセス管理 AWS DataSync](managing-access-overview.md)」を参照してください。
カスタマー管理ポリシーを作成するときは、特定の AWS リソースで使用できる DataSync オペレーションに関するステートメントを含めます。以下のポリシーの例には 2 つのステートメントがあります (両方のステートメントに `Action` および `Resource` 要素があることに注意してください)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
ポリシーのステートメントでは、以下を実行します。
+ 最初のステートメントでは、Amazon リソースネーム (ARN) をワイルドカード文字 (`*`) で指定することで、特定の転送タスクリソースに対して `datasync:DescribeTask` アクションを実行するアクセス権限を付与します。
+ 2 番目のステートメントでは、ワイルドカード文字 (`*`) のみを指定することで、すべてのタスクに対して `datasync:ListTasks` アクションを実行するアクセス権限を付与します。
## カスタマー管理ポリシーの例
カスタマー管理ポリシーの次の例では、さまざまな DataSync オペレーションの権限を付与します。( AWS Command Line Interface AWS CLI) または AWS SDK を使用している場合、ポリシーは機能します。これらのポリシーをコンソールで使用するには、管理ポリシー `AWSDataSyncFullAccess` も使用する必要があります。
**Topics**
+ [例 1: DataSync が Amazon S3 バケットにアクセスすることを許可する信頼関係を作成する](#datasync-example1)
+ [例 2: DataSyncに Amazon S3 バケットへの読み取りおよび書き込みを許可する](#datasync-example2)
+ [例 3: DataSync がログを CloudWatch ロググループにアップロードすることを許可する](#datasync-example4)
### 例 1: DataSync が Amazon S3 バケットにアクセスすることを許可する信頼関係を作成する
次に示すのは、DataSync が IAM ロールを引き受けることを許可する信頼ポリシーの例です。このロールは、DataSync が Amazon S3 バケットにアクセスすることを許可します。[サービス間の混乱による代理問題](cross-service-confused-deputy-prevention.md)の発生を防ぐため、ポリシーでは [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) と [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) のグローバル条件コンテキストキーを使用することをお勧めします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### 例 2: DataSyncに Amazon S3 バケットへの読み取りおよび書き込みを許可する
次のポリシーの例では、転送先の場所として使用されている S3 バケットに書き込みするために必要な最低限のアクセス許可を DataSync に付与しています。
**注記**
`aws:ResourceAccount` の値は、ポリシーで指定された Amazon S3 バケットを所有するアカウント ID である必要があります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### 例 3: DataSync がログを CloudWatch ロググループにアップロードすることを許可する
DataSync には、Amazon CloudWatch ロググループにログをアップロードするためのアクセス権限が必要です。CloudWatch ロググループを使用すると、タスクのモニタリングとデバッグができます。
このようなアクセス権限を付与する IAM ポリシーの例については、[DataSync が CloudWatch ロググループにログをアップロードすることを許可する](configure-logging.md#cloudwatchlogs) を参照してください。