Amazon Fraud Detector で IAM が機能する仕組み - Amazon Fraud Detector
Amazon Fraud Detector のアイデンティティベースポリシーAmazon Fraud Detector のリソースベースのポリシーAmazon Fraud Detector タグに基づく認可Amazon Fraud Detector IAM ロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Fraud Detector で IAM が機能する仕組み

IAM を使用して Amazon Fraud Detector へのアクセスを管理する前に、Amazon Fraud Detector で使用できる IAM 機能について理解しておく必要があります。Amazon Fraud Detector およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、「IAM ユーザーガイド」のAWS 「IAM と連携する のサービス」を参照してください。

Amazon Fraud Detector のアイデンティティベースポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、アクションを許可または拒否する条件を指定できます。Amazon Fraud Detector は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。

Amazon Fraud Detector の使用を開始するには、Amazon Fraud Detector オペレーションと必要なアクセス許可に制限されたアクセス許可を持つ ユーザーを作成することをお勧めします。必要に応じて他のアクセス許可を追加できます。AmazonFraudDetectorFullAccessPolicy および AmazonS3FullAccess のポリシーは、Amazon Fraud Detector を使用するために必要なアクセス許可を示します。これらのポリシーを使用した Amazon Fraud Detector の設定の詳細については、「Amazon Fraud Detector のセットアップ」を参照してください。

アクション

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件アクションを実行できるかということです。

JSON ポリシーのAction要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。一致する API オペレーションのない権限のみのアクションなど、いくつかの例外があります。また、ポリシーに複数アクションが必要なオペレーションもあります。これらの追加アクションは、 依存アクション と呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Amazon Fraud Detector のポリシーアクションは、アクションの前にプレフィックス frauddetector: を使用します。例えば、Amazon Fraud Detector CreateRule API オペレーションを使用してデータセットを作成するには、ポリシーに frauddetector:CreateRule アクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon Fraud Detector は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "frauddetector:action1",
      "frauddetector:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "frauddetector:Describe*"

Amazon Fraud Detector アクションのリストを確認するには、IAM ユーザーガイドの「Amazon Fraud Detector で定義されるアクション」を参照してください。

リソース

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースにどのような条件アクションを実行できるかということです。

Resource JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの権限と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Amazon Fraud Detector で定義されるリソースタイプは、すべての Amazon Fraud Detector リソース ARN をリストしています。

例えば、ステートメントで my_detector ディテクターを指定するには、次の ARN を使用します。

"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/my_detector"

ARN の形式の詳細については、「Amazon リソースネーム (ARNs AWS 「サービス名前空間」を参照してください。

特定のアカウントに属するすべてのディテクターを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/*"

リソースを作成するためのアクションなど、Amazon Fraud Detector アクションには特定のリソースで実行できないものがあります。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

Amazon Fraud Detector のリソースタイプとそれらの ARN のリストを確認するには、IAM ユーザーガイドの「Amazon Fraud Detector で定義されるリソースタイプ」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「Amazon Fraud Detector で定義されるアクション」を参照してください。

条件キー

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件アクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定するか、1 つの Condition 要素に複数のキーを指定すると、 AWS は AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、『IAM ユーザーガイド』の「‭‬IAM ポリシーの要素: 変数およびタグ‭‬」を参照してください。

AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「 グローバル条件コンテキストキー」を参照してください。

Amazon Fraud Detector では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイドAWS 」の「グローバル条件コンテキストキー」を参照してください。

Amazon Fraud Detector 条件キーのリストについては、IAM ユーザーガイドの「Amazon Fraud Detector の条件キー」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「Amazon Fraud Detector で定義されるアクション」を参照してください。

Amazon Fraud Detector のアイデンティティベースポリシーの例を確認するには、「Amazon Fraud Detector のアイデンティティベースポリシーの例」を参照してください。

Amazon Fraud Detector のリソースベースのポリシー

Amazon Fraud Detector では、 リソースベースのポリシーはサポートされていません。

Amazon Fraud Detector タグに基づく認可

タグは、Amazon Fraud Detector リソースにアタッチする、または Amazon Fraud Detector へのリクエストで渡すことができます。タグに基づいてアクセスを管理するには、aws:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素でタグ情報を提供します。

Amazon Fraud Detector IAM ロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

Amazon Fraud Detector での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、 AssumeRoleや などの AWS STS API オペレーションを呼び出しますGetFederationToken

Amazon Fraud Detector は一時的な認証情報の使用をサポート

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Fraud Detector は、サービスにリンクされたロールをサポートしていません。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは、 アカウントに表示され、サービスによって所有されます。つまり、 管理者は、このロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Amazon Fraud Detector は、サービスロールをサポートしています。