翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Directory Service リソースへのアクセス許可の管理の概要
<a name="IAM_Auth_Access_Overview"></a>

 すべての AWS リソースは AWS アカウントによって所有されます。結果として、リソースを作成またはアクセスするためのアクセス権限は、アクセス許可ポリシーで管理されます。ただし、管理者権限を持つユーザーであるアカウント管理者は、リソースにアクセス権限を付加できます。には、ユーザー、グループ、ロールなどの IAM ID にアクセス許可ポリシーをアタッチする機能もあります。また、 などの一部のサービスでは、 リソースへのアクセス許可ポリシーのアタッチ AWS Lambda もサポートされています。

**注記**  
 アカウント管理者ロールの詳細については、「*IAM ユーザーガイド*」の「[IAM ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

**Topics**
+ [Directory Service リソースとオペレーション](#CreatingIAMPolicies_DS)
+ [リソース所有権についての理解](#IAM_Auth_Access_ResourceOwner)
+ [リソースへのアクセスの管理](#IAM_Auth_Access_ManagingAccess)
+ [ポリシー要素の指定: アクション、効果、リソース、プリンシパル](#SpecifyingIAMPolicyActions_DS)
+ [ポリシーでの条件を指定する](#SpecifyingIAMPolicyConditions_DS)

## Directory Service リソースとオペレーション
<a name="CreatingIAMPolicies_DS"></a>

 では Directory Service、プライマリリソースは *ディレクトリ*です。 Directory Service はディレクトリスナップショットリソースをサポートしているため、スナップショットは既存のディレクトリのコンテキストのみで作成できます。このスナップショットは、*サブリソース*と呼ばれます。

 これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。


****  

| **リソースタイプ**  |  **ARN 形式**  | 
| --- | --- | 
|  ディレクトリ  |  `arn:aws:ds:region:account-id:directory/external-directory-id`  | 
|  Snapshot  |  `arn:aws:ds:region:account-id:snapshot/external-snapshot-id`  | 

 Directory Service には、実行するオペレーションのタイプに基づいて 2 つのサービス名前空間が含まれています。
+ `ds` サービスネームスペースには、適切なリソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「[Directory Service のアクション](https://docs.aws.amazon.com//directoryservice/latest/devguide/API_Operations.html)」を参照してください。
+  `ds-data` サービスネームスペースは、Active Directory オブジェクトに一連のオペレーションを提供します。使用可能なオペレーションのリストについては、「[Directory Service Data API Reference](https://docs.aws.amazon.com//directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)」を参照してください。

## リソース所有権についての理解
<a name="IAM_Auth_Access_ResourceOwner"></a>

*リソース所有者*は、リソースを作成した AWS アカウントです。つまり、リソース所有者は、リソースを作成するリクエストを認証する*プリンシパルエンティティ* (ルートアカウント、IAM ユーザー、または IAM ロール) の AWS アカウントです。次の例は、この仕組みを示しています。

 
+  AWS アカウントのルートアカウントの認証情報を使用してディレクトリなどの Directory Service リソースを作成する場合、 AWS アカウントはそのリソースの所有者です。
+  AWS アカウントに IAM ユーザーを作成し、そのユーザーに Directory Service リソースを作成するアクセス許可を付与する場合、そのユーザーはリソースを作成 Directory Service することもできます。ただし、ユーザーが属する AWS アカウントがリソースを所有します。
+  Directory Service リソースを作成するアクセス許可を持つ AWS アカウントに IAM ロールを作成すると、ロールを引き受けることができるすべてのユーザーがリソースを作成できます Directory Service 。ロールが属する AWS アカウントがリソースを所有します Directory Service 。

## リソースへのアクセスの管理
<a name="IAM_Auth_Access_ManagingAccess"></a>

*アクセス権限ポリシー* では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

**注記**  
このセクションでは、 のコンテキストでの IAM の使用について説明します Directory Service。ここでは、IAM サービスに関する詳細情報を提供しません。IAM に関する詳細なドキュメントについては、「*IAM ユーザーガイド*」の「[IAM とは？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。IAM ポリシー構文と記述の説明については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」の「*IAM JSON ポリシーリファレンス*」を参照してください。

IAM アイデンティティにアタッチされたポリシーは*アイデンティティベースの*ポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーは*リソースベースの*ポリシーと呼ばれます。 はアイデンティティベースのポリシー (IAM ポリシー) のみ Directory Service をサポートします。

**Topics**
+ [アイデンティティベースのポリシー (IAM ポリシー）](#IAM_Auth_Access_ManagingAccess_IdentityBased)
+ [リソースベースのポリシー](#IAM_Auth_Access_ManagingAccess_ResourceBased)

### アイデンティティベースのポリシー (IAM ポリシー）
<a name="IAM_Auth_Access_ManagingAccess_IdentityBased"></a>

ポリシーを IAM アイデンティティにアタッチできます。例えば、次のオペレーションを実行できます。

 
+ **アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする** – アカウント管理者は、特定のユーザーに関連付けられているアクセス許可ポリシーを使用して、そのユーザーに新しいディレクトリなどの Directory Service リソースを作成するアクセス許可を付与できます。
+ **アクセス権限ポリシーをロールにアタッチする (クロスアカウントの許可を付与)** - ID ベースのアクセス権限ポリシーを IAM ロールにアタッチして、クロスアカウントの権限を付与することができます。

   IAM を使用したアクセス許可の委任の詳細については、「*IAM ユーザーガイド*」の「[アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。

次のアクセス権限ポリシーは、`Describe` で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリやスナップショットなどの Directory Service リソースに関する情報を表示します。`Resource` 要素のワイルドカード文字 (\$1) は、アカウントが所有するすべての Directory Service リソースに対してアクションが許可されていることを示します。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}
```

------

でのアイデンティティベースのポリシーの使用の詳細については Directory Service、「」を参照してください[でのアイデンティティベースのポリシー (IAM ポリシー) の使用 Directory Service](IAM_Auth_Access_IdentityBased.md)。ユーザー、グループ、ロール、アクセス権限の詳細については、「*IAM ユーザーガイド*」の「[ID (ユーザー、グループ、ロール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。

### リソースベースのポリシー
<a name="IAM_Auth_Access_ManagingAccess_ResourceBased"></a>

Amazon S3 などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。たとえば、ポリシーを S3 バケットにアタッチして、そのバケットへのアクセス許可を管理できます。 Directory Service はリソースベースのポリシーをサポートしていません。

## ポリシー要素の指定: アクション、効果、リソース、プリンシパル
<a name="SpecifyingIAMPolicyActions_DS"></a>

サービスは、 Directory Service リソースごとに一連の API オペレーションを定義します。詳細については、「[Directory Service リソースとオペレーション](#CreatingIAMPolicies_DS)」を参照してください。使用可能な API オペレーションのリストについては、「[Directory Service のアクション](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html)」を参照してください。

これらの API オペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクション Directory Service を定義します。API オペレーションを実行する場合には、複数のアクションに対するアクセス許可が必要になることがあります。

以下は、基本的なポリシーの要素です。
+ **リソース** – ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。 Directory Service リソースでは、IAM ポリシーで常にワイルドカード文字 (\$1) を使用します。詳細については、「[Directory Service リソースとオペレーション](#CreatingIAMPolicies_DS)」を参照してください。
+ **[Action]** (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、`ds:DescribeDirectories` 権限は、 Directory Service `DescribeDirectories` オペレーションの実行をユーザーに許可します。
+ **[Effect]** (効果) - ユーザーが特定のアクションをリクエストする時の効果を指定します。これは許可または拒否とすることができます。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
+ プリンシパル**** – ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用されます）。 Directory Service はリソースベースのポリシーをサポートしていません。

IAM ポリシーの構文と記述の詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。

すべての Directory Service API アクションとそれらが適用されるリソースを示す表については、「」を参照してください[Directory Service API アクセス許可: アクション、リソース、および条件リファレンス](UsingWithDS_IAM_ResourcePermissions.md)。



## ポリシーでの条件を指定する
<a name="SpecifyingIAMPolicyConditions_DS"></a>

アクセス許可を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。 Directory Serviceに固有の条件キーはありません。ただし、必要に応じて使用できる AWS 条件キーがあります。 AWS キーの完全なリストについては、*IAM ユーザーガイド*の[「利用可能なグローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)」を参照してください。