AWS Directory Service リソースへのアクセス許可の管理の概要 - AWS Directory Service
AWS Directory Service リソースとオペレーションリソース所有権についてリソースへのアクセスの管理ポリシー要素の指定: アクション、効果、リソース、プリンシパルポリシーでの条件を指定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Directory Service リソースへのアクセス許可の管理の概要

すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、アクセス許可ポリシーを ID (ユーザー、グループ、ロール) IAM にアタッチできます。一部の サービス ( など AWS Lambda) では、アクセス許可ポリシーをリソースにアタッチすることもできます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「 ユーザーガイド」の「 のIAMベストプラクティスIAM」を参照してください。

AWS Directory Service リソースとオペレーション

では AWS Directory Service、プライマリリソースはディレクトリ です。 はディレクトリスナップショットリソースも AWS Directory Service サポートしています。ただし、既存のディレクトリのコンテキストでのみスナップショットのみを作成できます。そのため、スナップショットはサブリソースと呼ばれます。

これらのリソースには、次の表に示すように、一意の Amazon リソースネーム (ARNs) が関連付けられています。

リソースタイプ ARN 形式

ディレクトリ

arn:aws:ds:region:account-id:directory/external-directory-id

スナップショット

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service は、適切なリソースを操作するための一連のオペレーションを提供します。使用可能なオペレーションのリストについては、「Directory Service のアクション」を参照してください。

リソース所有権について

リソース所有者は、リソースを作成した AWS アカウントです。つまり、リソース所有者は、リソースを作成するリクエスト AWS を認証するプリンシパルエンティティ (ルートアカウント、IAMユーザー、またはIAMロール) のアカウントです。次の例は、この仕組みを示しています。

  • AWS アカウントのルートアカウントの認証情報を使用してディレクトリなどの AWS Directory Service リソースを作成する場合、 AWS アカウントはそのリソースの所有者です。

  • AWS アカウントに IAM ユーザーを作成し、そのユーザーに AWS Directory Service リソースを作成するアクセス許可を付与する場合、そのユーザーはリソースを作成 AWS Directory Service することもできます。ただし、ユーザーが属する AWS アカウントがリソースを所有します。

  • AWS Directory Service リソースを作成するアクセス許可を持つ AWS アカウントに IAM ロールを作成すると、ロールを引き受けることのできるすべてのユーザーがリソースを作成できます AWS Directory Service 。ロールが属する AWS アカウントがリソースを所有します AWS Directory Service 。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、 のコンテキストIAMでの の使用について説明します AWS Directory Service。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、「 ユーザーガイド」のIAM「 とは」を参照してください。 IAM IAM ポリシーの構文と説明については、「 ユーザーガイド」の「 IAMJSONポリシーリファレンスIAM」を参照してください。

IAM ID にアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 はアイデンティティベースのポリシー (IAM ポリシー) のみ AWS Directory Service をサポートします。

アイデンティティベースのポリシー (IAM ポリシー)

IAM ID にポリシーをアタッチできます。例えば、次のオペレーションを実行できます。

  • アカウントのユーザーまたはグループに許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられた許可ポリシーを使用して、そのユーザーに新しいディレクトリなどの AWS Directory Service リソースを作成する許可を付与できます。

  • ロールにアクセス許可ポリシーをアタッチする (クロスアカウントアクセス許可を付与する) – アイデンティティベースのアクセス許可ポリシーを IAMロールにアタッチして、クロスアカウントアクセス許可を付与できます。

    を使用してアクセス許可IAMを委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理IAM」を参照してください。

次のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリやスナップショットなどの AWS Directory Service リソースに関する情報を表示します。Resource 要素のワイルドカード文字 (*) は、アカウントが所有するすべての AWS Directory Service リソースに対してアクションが許可されていることを示します。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

でのアイデンティティベースのポリシーの使用の詳細については AWS Directory Service、「」を参照してくださいでのアイデンティティベースのポリシー (IAM ポリシー) の使用 AWS Directory Service。ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイド「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

Amazon S3 などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。例えば、S3 バケットにポリシーをアタッチして、そのバケットへのアクセス許可を管理できます。 AWS Directory Service はリソースベースのポリシーをサポートしていません。

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

サービスは、 AWS Directory Service リソースごとに一連のAPIオペレーションを定義します。詳細については、「AWS Directory Service リソースとオペレーション」を参照してください。使用可能なAPIオペレーションのリストについては、「 Directory Service Actions」を参照してください。

これらのAPIオペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクション AWS Directory Service を定義します。API オペレーションを実行するには、複数のアクションに対するアクセス許可が必要になる場合があることに注意してください。

以下は、基本的なポリシーの要素です。

  • リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。 AWS Directory Service リソースの場合、IAMポリシーでは常にワイルドカード文字 (*) を使用します。詳細については、「AWS Directory Service リソースとオペレーション」を参照してください。

  • [Action] (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、ds:DescribeDirectories 権限は、 AWS Directory Service DescribeDirectories オペレーションの実行をユーザーに許可します。

  • [Effect] (効果) - ユーザーが特定のアクションをリクエストする時の効果を指定します。これは許可または拒否とすることができます。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用されます)。リソースベースのポリシー AWS Directory Service はサポートされていません。

IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」の「 IAMJSONポリシーリファレンスIAM」を参照してください。

すべての AWS Directory Service APIアクションとそれらが適用されるリソースを示す表については、「」を参照してくださいAWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス

ポリシーでの条件を指定する

アクセス許可を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる条件を指定できます。たとえば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。 AWS Directory Serviceに固有の条件キーはありません。ただし、必要に応じて使用できる AWS 条件キーがあります。 AWS キーの完全なリストについては、「 ユーザーガイド」の「利用可能なグローバル条件キーIAM」を参照してください。