Amazon Fraud Detector と の連携方法 IAM - Amazon Fraud Detector
Amazon Fraud Detector のアイデンティティベースポリシーAmazon Fraud Detector のリソースベースのポリシーAmazon Fraud Detector タグに基づく認可Amazon Fraud Detector IAMロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Fraud Detector と の連携方法 IAM

IAM を使用して Amazon Fraud Detector へのアクセスを管理する前に、Amazon Fraud Detector で使用できるIAM機能を理解しておく必要があります。Amazon Fraud Detector とその他の の概要を把握するには AWS サービスは と連携します。IAM「」を参照してください。 AWS ユーザーガイドのIAM「 と連携する IAM のサービス」。

Amazon Fraud Detector のアイデンティティベースポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon Fraud Detector は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「 ユーザーガイド」のIAMJSON「 ポリシー要素リファレンスIAM」を参照してください。

Amazon Fraud Detector の使用を開始するには、Amazon Fraud Detector オペレーションと必要なアクセス許可に制限されたアクセス許可を持つ ユーザーを作成することをお勧めします。必要に応じて他のアクセス許可を追加できます。AmazonFraudDetectorFullAccessPolicy および AmazonS3FullAccess のポリシーは、Amazon Fraud Detector を使用するために必要なアクセス許可を示します。これらのポリシーを使用した Amazon Fraud Detector の設定の詳細については、「Amazon Fraud Detector のセットアップ」を参照してください。

アクション

管理者は を使用できます AWS JSON ポリシーは、誰が何にアクセスできるかを指定します。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションは通常、関連付けられている と同じ名前です。 AWS API オペレーション。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Amazon Fraud Detector のポリシーアクションは、アクションの前にプレフィックス frauddetector: を使用します。例えば、Amazon Fraud Detector CreateRuleAPIオペレーションでルールを作成するには、ポリシーに frauddetector:CreateRuleアクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon Fraud Detector は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "frauddetector:action1",
      "frauddetector:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "frauddetector:Describe*"

Amazon Fraud Detector アクションのリストを確認するには、「 ユーザーガイド」の「Amazon Fraud Detector で定義されるアクションIAM」を参照してください。

リソース

管理者は を使用できます AWS JSON ポリシーは、誰が何にアクセスできるかを指定します。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Policy ResourceJSON要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Amazon Fraud Detector で定義されるリソースタイプは、すべての Amazon Fraud Detector リソースを一覧表示しますARNs。

例えば、 ステートメントでディmy_detectorテクターを指定するには、次の を使用しますARN。

"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/my_detector"

の形式の詳細についてはARNs、「Amazon リソースネーム (ARNs)」および「」を参照してください。 AWS サービス名前空間

特定のアカウントに属するすべてのディテクターを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/*"

リソースを作成するためのアクションなど、Amazon Fraud Detector アクションには特定のリソースで実行できないものがあります。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

Amazon Fraud Detector のリソースタイプとその のリストを確認するにはARNs、「 IAMユーザーガイド」の「Amazon Fraud Detector で定義されるリソース」を参照してください。各リソースARNの を指定できるアクションについては、「Amazon Fraud Detector で定義されるアクション」を参照してください。

条件キー

管理者は を使用できます AWS JSON ポリシーは、誰が何にアクセスできるかを指定します。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

ステートメントで複数のCondition要素を指定するか、単一のCondition要素で複数のキーを指定する場合は、 AWS は論理ANDオペレーションを使用してそれらを評価します。1 つの条件キーに複数の値を指定する場合は、 AWS は論理ORオペレーションを使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、リソースにIAMユーザー名でタグ付けされている場合にのみ、リソースへのアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグIAM」を参照してください。

AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべてを表示するには AWS グローバル条件キー、「」を参照してください。 AWSIAM ユーザーガイドの グローバル条件コンテキストキー

Amazon Fraud Detector では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべてを表示するには AWS グローバル条件キー、「」を参照してください。 AWSIAM ユーザーガイドの グローバル条件コンテキストキー

Amazon Fraud Detector の条件キーのリストを確認するには、「 IAMユーザーガイド」の「Amazon Fraud Detector の条件キー」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「Amazon Fraud Detector で定義されるアクション」を参照してください。

Amazon Fraud Detector のアイデンティティベースポリシーの例を確認するには、「Amazon Fraud Detector のアイデンティティベースポリシーの例」を参照してください。

Amazon Fraud Detector のリソースベースのポリシー

Amazon Fraud Detector では、 リソースベースのポリシーはサポートされていません。

Amazon Fraud Detector タグに基づく認可

タグは、Amazon Fraud Detector リソースにアタッチする、または Amazon Fraud Detector へのリクエストで渡すことができます。タグに基づいてアクセスを管理するには、aws:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素でタグ情報を提供します。

Amazon Fraud Detector IAMロール

IAM ロールは 内のエンティティです。 AWS 特定のアクセス許可を持つ アカウント。

Amazon Fraud Detector での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインしたり、 IAMロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。一時的なセキュリティ認証情報を取得するには、 を呼び出します。 AWS STS API AssumeRoleや などの オペレーションGetFederationToken

Amazon Fraud Detector は一時的な認証情報の使用をサポート

サービスリンクロール

サービスにリンクされたロールでは、 AWS サービス は、ユーザーに代わってアクションを実行するために、他の サービスのリソースにアクセスします。サービスにリンクされたロールはIAMアカウントに表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Amazon Fraud Detector は、サービスにリンクされたロールをサポートしていません。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは、 アカウントに表示され、サービスによって所有されます。つまり、 管理者は、このロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Amazon Fraud Detector は、サービスロールをサポートしています。