Amazon Keyspaces のアイデンティティベースポリシーの例 - Amazon Keyspaces (Apache Cassandra 向け)
ポリシーのベストプラクティスコンソールを使用する場合自分の権限の表示をユーザーに許可するAmazon Keyspaces テーブルへのアクセス タグに基いた Amazon Keyspaces リソースアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Keyspaces のアイデンティティベースポリシーの例

デフォルトでは、IAMユーザーとロールには Amazon Keyspaces リソースを作成または変更するアクセス許可がありません。また、コンソール、、CQLSH AWS CLIまたは を使用してタスクを実行することはできません AWS API。IAM 管理者は、ユーザーとロールに必要な特定のリソースに対して特定のAPIオペレーションを実行するアクセス許可を付与するIAMポリシーを作成する必要があります。その後、管理者は、これらのアクセス許可を必要とするIAMユーザーまたはグループにこれらのポリシーをアタッチする必要があります。

これらのポリシードキュメント例を使用して IAM ID ベースのJSONポリシーを作成する方法については、IAM「 ユーザーガイド」の「 JSONタブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

ID ベースのポリシーは、ユーザーのアカウント内で誰かが Amazon Keyspaces リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

  • AWS マネージドポリシーを開始し、最小権限のアクセス許可に移行 – ユーザーとワークロードへのアクセス許可の付与を開始するには、多くの一般的なユースケースのアクセス許可を付与するAWS マネージドポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM「 ユーザーガイド」の「 管理AWS ポリシー」または ジョブ機能の 管理ポリシーを参照してください。 AWS

  • 最小権限のアクセス許可を適用する - IAMポリシーでアクセス許可を設定する場合、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、IAM「 ユーザーガイド」の「 のポリシーとアクセス許可IAM」を参照してください。

  • IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信する必要があることを指定できますSSL。また、 などの特定の を通じてサービスアクションが使用されている場合は AWS のサービス、 条件を使用してサービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、IAM「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。

  • IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的なレコメンデーションが用意されています。詳細については、IAM「 ユーザーガイド」のIAM「Access Analyzer ポリシーの検証」を参照してください。

  • 多要素認証が必要 (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、 をオンにMFAしてセキュリティを強化します。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、IAM「 ユーザーガイド」のMFA「保護APIアクセスの設定」を参照してください。

のベストプラクティスの詳細についてはIAM、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAM」を参照してください。 IAM

Amazon Keyspaces コンソールの使用

Amazon Keyspaces では、Amazon Keyspaces コンソールにアクセスするための特定のアクセス許可は必要ありません。の Amazon Keyspaces リソースの詳細を一覧表示および表示するには、少なくとも読み取り専用のアクセス許可が必要です AWS アカウント。最低限必要なアクセス許可よりも制限の厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (IAMユーザーまたはロール) に対してコンソールは意図したとおりに機能しません。

Amazon Keyspaces コンソールアクセスのエンティティには、2 つの AWS マネージドポリシーを使用できます。

  • AmazonKeyspacesReadOnlyAccess_v2 – このポリシーは、Amazon Keyspaces への読み取り専用アクセスを許可します。

  • AmazonKeyspacesFullAccess – このポリシーは、すべての機能へのフルアクセスを持つ Amazon Keyspaces を使用するアクセス許可を付与します。

Amazon Keyspaces のマネージドポリシーの詳細については、「Amazon Keyspaces の AWS 管理ポリシー」を参照してください。

自分の権限の表示をユーザーに許可する

この例では、IAMユーザーがユーザー ID にアタッチされているインラインポリシーとマネージドポリシーを表示できるようにするポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI または を使用してプログラムでこのアクションを実行するアクセス許可が含まれています AWS API。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Amazon Keyspaces テーブルへのアクセス

以下は、Amazon Keyspaces システムテーブルへの読み取り専用 (SELECT) アクセスを許可するサンプルポリシーです。すべてのサンプルについて、Amazon リソースネーム (ARN) のリージョンとアカウント ID を独自のサンプルに置き換えます。

注記

ほとんどのドライバーで接続時にシステムのキースペース/テーブルが読み取られるため、標準的なドライバーと接続する場合に、ユーザーは少なくともシステムテーブルへの SELECT アクセス権は持っておく必要があります。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

次のサンプルポリシーは、mytableキースペース のユーザーテーブルに読み取り専用アクセスを追加しますmykeyspace

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

以下のサンプルポリシーでは、ユーザーテーブルへの読み取り/書き込みアクセス権と、システムテーブルへの読み取りアクセス権を割り当てます。

注記

システムテーブルは常に読み取り専用です。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select",
            "cassandra:Modify"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

次のサンプルポリシーでは、ユーザーがキースペース mykeyspace でテーブルを作成できます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Create",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

タグに基いた Amazon Keyspaces リソースアクセス

アイデンティティベースポリシーの条件を使用して、タグに基づいた Amazon Keyspaces リソースへのアクセスを制御することができます。これらのポリシーは、アカウント内のキースペースとテーブルの可視性を制御します。システムテーブルのタグベースのアクセス許可は、リクエストが AWS SDKを使用して行われた場合と、Cassandra ドライバーおよび開発者ツールを介した Cassandra クエリ言語 (CQL) API呼び出しの場合とは動作が異なることに注意してください。

  • タグベースのアクセスを使用する AWS SDKときに で Listおよび Getリソースリクエストを行うには、発信者がシステムテーブルへの読み取りアクセス権を持っている必要があります。たとえば、GetTable オペレーションでシステムテーブルからデータを読み取るには Select アクション権限が必要です。呼び出し元に特定のテーブルに対するタグベースのアクセス権限しかない場合、システムテーブルへの追加アクセスが必要な操作は失敗します。

  • 確立された Cassandra ドライバーの動作との互換性のために、Cassandra ドライバーとデベロッパーツールを介した Cassandra クエリ言語 (CQL) API呼び出しを使用してシステムテーブルでオペレーションを実行する場合、タグベースの承認ポリシーは適用されません。

次の例では、テーブルの Owner にユーザーのユーザー名の値が含まれている場合に、そのテーブルを表示するための権限をユーザーに与えるポリシーを作成する方法を説明します。この例では、システムテーブルへの読み取りアクセス権限も与えられています。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ReadOnlyAccessTaggedTables",
         "Effect":"Allow",
         "Action":"cassandra:Select",
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Owner":"${aws:username}"
            }
         }
      }
   ]
}

このポリシーは、アカウントのIAMユーザーにアタッチできます。richard-roe という名前のユーザーが Amazon Keyspaces テーブルを表示しようとすると、そのテーブルには Owner=richard-roe または owner=richard-roe というタグが付きます。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字は区別されないため、条件タグキー OwnerOwnerowner に一致します。詳細については、IAM「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。

次のポリシーでは、テーブルの Owner にユーザーのユーザー名の値が含まれている場合に、タグ付きのテーブルを作成するための権限をユーザーに付与します。

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
       { 
          "Sid": "CreateTagTableUser", 
          "Effect": "Allow", 
          "Action": [
              "cassandra:Create", 
              "cassandra:TagResource"
          ], 
          "Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*", 
          "Condition":{
             "StringEquals":{
                "aws:RequestTag/Owner":"${aws:username}"
            }
         }
      }
   ]
}