翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でのアイデンティティベースのポリシー (IAM ポリシー) の使用 AWS Directory Service
このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。
重要
まず、 AWS Directory Service リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックを確認することをお勧めします。詳細については、「AWS Directory Service リソースへのアクセス許可の管理の概要」を参照してください。
このセクションでは、次のトピックを対象としています。
以下に示しているのは、アクセス許可ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDsEc2IamGetRole", "Effect": "Allow", "Action": [ "ds:CreateDirectory", "ec2:RevokeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DescribeSubnets", "iam:GetRole" ], "Resource": "*" }, { "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::111122223333:role/DirSvc*" }, { "Sid": "AllowPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudwatch.amazonaws.com" } } } ] }
ポリシーの 3 つのステートメントは、次のようにアクセス権限を付与します:
-
最初のステートメントは、 AWS Directory Service ディレクトリを作成するアクセス許可を付与します。 AWS Directory Service は、リソースレベルのアクセス権限をサポートしていないため、ポリシーは
Resource値としてワイルドカード文字 (*) を指定します。 -
2 番目のステートメント AWS Directory Service は、 がユーザーに代わってIAMロールを読み取って作成できるように、 IAM アクションへのアクセス許可を付与します。このステートメントで
Resource値の末尾のワイルドカード文字 (*) は、任意の IAM ロールに IAM アクションを実行するためのアクセス許可を付与することを意味します。このアクセス許可を特定のロールに制限するには、リソースのワイルドカード文字 (*) を特定のロール名に置き換えARNます。詳細については、IAM「アクション」を参照してください。 -
3 番目のステートメントは、 EC2がディレクトリを作成、設定、破棄するために必要な Amazon の特定のリソースセット AWS Directory Service にアクセス許可を付与します。
Resource値の末尾のワイルドカード文字 (*) は、ステートメントが任意のEC2リソースまたはサブリソースに対するEC2アクションのアクセス許可を許可することを意味します。このアクセス許可を特定のロールに制限するには、リソースのワイルドカード文字 (*) を特定のリソースまたはサブリソースに置き換えARNます。詳細については、「Amazon EC2 Actions」を参照してください。
アイデンティティに基づくポリシーでは、アクセス権限の付与先のプリンシパルを指定しないため、Principal 要素は指定されません。ユーザーにそのポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。アクセス許可ポリシーを IAMロールにアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を取得します。
すべての AWS Directory Service APIアクションとそれらが適用されるリソースを示す表については、「」を参照してくださいAWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス。
AWS Directory Service コンソールを使用するために必要なアクセス許可
AWS Directory Service コンソールを操作するユーザーには、前述のポリシーに記載されているアクセス許可、または で説明されている Directory Service フルアクセスロールまたは Directory Service 読み取り専用ロールによって付与されたアクセス許可が必要ですAWS の 管理 (事前定義) ポリシー AWS Directory Service。
これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。
AWS の 管理 (事前定義) ポリシー AWS Directory Service
AWS は、 によって作成および管理IAMされる事前定義済みまたは管理ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的なユースケースに必要なアクセス許可を付与するため、必要なアクセス許可を決定するのに役立ちます。詳細については、「AWS の 管理ポリシー AWS Directory Service」を参照してください。
カスタマーマネージドポリシーの例
このセクションでは、さまざまな AWS Directory Service アクションのアクセス許可を付与するユーザーポリシーの例を示します。
注記
すべての例で、米国西部 (オレゴン) リージョン (us-west-2) を使用し、架空のアカウント が含まれていますIDs。
例 1: 任意の AWS Directory Service リソースに対して任意の Describe アクションを実行することをユーザーに許可する
次のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリやスナップショットなどの AWS Directory Service リソースに関する情報を表示します。Resource 要素のワイルドカード文字 (*) は、アカウントが所有するすべての AWS Directory Service リソースに対してアクションが許可されていることを示します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }
例 2: ディレクトリの作成をユーザーに許可する
次のアクセス許可ポリシーによって、ディレクトリおよび関連するすべての他のリソース (スナップショットや信頼など) を作成するアクセス許可がユーザーに付与されます。そのためには、特定の Amazon EC2サービスに対するアクセス許可も必要です。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ] }
IAM ポリシーでのタグの使用
ほとんどの AWS Directory Service APIアクションに使用するIAMポリシーに、タグベースのリソースレベルのアクセス許可を適用できます。これにより、ユーザーがどのリソースを作成、変更、または使用できるかを制御しやすくなります。IAM ポリシーの以下の条件コンテキストのキーと値とともに Condition 要素 (Condition ブロックとも呼ばれる) を使用して、リソースのタグに基づいてユーザーアクセス (アクセス許可) を制御できます。
-
特定のタグを持つリソースに対してユーザーアクションを許可または拒否するには、
aws:ResourceTag/tag-key:tag-valueを使用します。 -
aws:ResourceTag/tag-key:tag-valueを使用して、タグを許可するリソースを作成または変更するAPIリクエストを行うときに、特定のタグを使用する (または使用しない) ことを要求します。 -
aws:TagKeys: [tag-key, ...] を使用して、タグを許可するリソースを作成または変更するAPIリクエストを行うときに、特定のタグキーのセットを使用する (または使用しない) ことを要求します。
注記
IAM ポリシーの条件コンテキストのキーと値は、タグ付け可能なリソースの ID が必須パラメータである AWS Directory Service アクションにのみ適用されます。
IAM ユーザーガイドのタグを使用したアクセスの制御には、タグの使用に関する追加情報があります。そのガイドのIAMJSONポリシーリファレンスセクションには、 のJSONポリシーの要素、変数、評価ロジックの詳細な構文、説明、例が記載されていますIAM。
次のタグポリシーの例では、タグとキーのペア "fooKey":"fooValue" が含まれている限り、ds の呼び出しはすべて許可されます。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }
次のリソースポリシーの例では、リソースにディレクトリ ID 「d-1234567890」が含まれている限り、ds の呼び出しはすべて許可されます。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }
の詳細についてはARNs、「Amazon リソースネーム (ARNs)」と AWS 「サービスの名前空間」を参照してください。
次のオペレーションのリスト AWS Directory Service APIは、タグベースのリソースレベルのアクセス許可をサポートしています。
