翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Keyspaces PITR のテーブル復元用の IAM アクセス許可を設定する
<a name="howitworks_restore_permissions"></a>

このセクションでは、Amazon Keyspaces テーブルを復元するための AWS Identity and Access Management (IAM) プリンシパルのアクセス許可を設定する方法を要約します。IAM では、 AWS マネージドポリシーである `AmazonKeyspacesFullAccess` に、Amazon Keyspaces テーブルの復元に必要なアクセス許可が含まれています。最低限必要なアクセス許可を含めたカスタムポリシーを実装するには、次のセクションで概説している要件を検討してください。

テーブルを正常に復元するには、IAM プリンシパルに次の最小限のアクセス許可が必要です。
+ `cassandra:Restore` — この復元アクションはターゲットテーブルの復元に必須です。
+ `cassandra:Select` — この選択アクションはソーステーブルからの読み取りに必須です。
+ `cassandra:TagResource` — タグアクションはオプションで、復元オペレーションによりタグが追加される場合にのみ必須です。

次の例は、キースペース `mykeyspace` 内のテーブルを復元するために必要な最小限のアクセス許可をユーザーに与えるポリシーを示しています。

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Restore",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

選択した他の機能に基づいて、テーブルを復元するための追加の許可が必要になる場合があります。例えば、ソーステーブルが保管時にカスタマーマネージドキーで暗号化されている場合、テーブルを正常に復元するために、Amazon Keyspaces にはソーステーブルのカスタマーマネージドキーへのアクセス許可が必要になります。詳細については、「[暗号化されたテーブルの PITR 復元](PointInTimeRecovery_HowItWorks.md#howitworks_backup_encryption)」を参照してください。

IAM ポリシーを[条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)とともに使用して特定のソースへの受信トラフィックを制限するには、プリンシパルの代わりに復元オペレーションを実行する許可が Amazon Keyspaces に付与されていることを確認する必要があります。ポリシーにより受信トラフィックが次のいずれかに制限されている場合は、IAM ポリシーに `aws:ViaAWSService` 条件キーを追加する必要があります。
+ `aws:SourceVpce` の場合は VPC エンドポイント
+ `aws:SourceIp` の場合は IP レンジ
+ `aws:SourceVpc` の場合は VPC

 AWS サービスでプリンシパルの認証情報を使用してリクエストを実行すると、`aws:ViaAWSService` 条件キーによりアクセスが許可されます。詳細については、『*IAM ユーザーガイド*』の「[IAM JSON policy elements: Condition key(IAM JSON ポリシー要素: 条件キー)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」 を参照してください。

以下は、ソーストラフィックを特定の IP アドレスに制限し、プリンシパルの代わりに Amazon Keyspaces によってテーブルが復元されるようにするポリシーの例です。

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"CassandraAccessForCustomIp",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "ForAnyValue:IpAddress":{
               "aws:SourceIp":[
                  "123.45.167.89"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}
```

 `aws:ViaAWSService` グローバル条件キーを使用したポリシーの例については、「[VPC エンドポイントポリシーと Amazon Keyspaces ポイントインタイムリカバリ (PITR)](vpc-endpoints.md#VPC_PITR_restore)」を参照してください。