License Manager の ID とアクセスの管理 - AWS License Manager
ユーザー、グループ、ロールを作成するIAM ポリシー構造License Manager のIAMポリシーを作成するユーザー、グループ、およびロールに許可を付与する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

License Manager の ID とアクセスの管理

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を認証 (サインイン) し、誰に AWS リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAM を使用すると、 AWS アカウントの下にユーザーとグループを作成できます。ユーザーが AWS リソースを使用してタスクを実行するために必要なアクセス許可を制御します。追加料金IAMなしで を使用できます。

デフォルトでは、ユーザーには License Manager のリソースおよびオペレーションのための許可がありません。ユーザーに License Manager リソースの管理を許可するには、明示的にアクセス許可を付与するIAMポリシーを作成する必要があります。

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。詳細については、IAM「 ユーザーガイド」の「ポリシーとアクセス許可」を参照してください。

ユーザー、グループ、ロールを作成する

のユーザーとグループを作成し AWS アカウント 、必要なアクセス許可を割り当てることができます。ベストプラクティスとして、ユーザーはIAMロールを引き受けてアクセス許可を取得する必要があります。 AWS アカウントのユーザーとグループを設定する方法の詳細については、「License Manager の使用を開始する」を参照してください。

IAM ロールは、特定のアクセス許可を持つアカウントで作成できる IAM ID です。IAM ロールは、 で AWS ID ができることとできないことを決定するアクセス許可ポリシーを持つ ID であるという点で、IAMユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。

IAM ポリシー構造

IAM ポリシーは、1 つ以上のステートメントで構成されるJSONドキュメントです。各ステートメントの構成は以下のとおりです。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

様々な要素がステートメントを構成しています

  • [Effect]:effect は、AllowまたはDenyにすることができます。デフォルトでは、ユーザーにはリソースとAPIオペレーションを使用するアクセス許可がないため、すべてのリクエストは拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に上書きされます。

  • アクション : アクションは、アクセス許可を付与または拒否する特定のAPIオペレーションです。

  • [リソース]:リソースはアクションの影響を受けます。License Manager APIオペレーションによっては、 オペレーションによって作成または変更できる特定のリソースをポリシーに含めることができます。ステートメントでリソースを指定するには、その Amazon リソースネーム () を使用する必要がありますARN。詳細については、「 で定義されるアクション AWS License Manager」を参照してください。

  • Condition] (条件): condition はオプションです。ポリシーの発効条件を指定するために使用します。詳細については、「AWS License Managerの条件キー」を参照してください。

License Manager のIAMポリシーを作成する

IAM ポリシーステートメントでは、 をサポートする任意のサービスから任意のAPIオペレーションを指定できますIAM。License Manager では、 APIオペレーションの名前で次のプレフィックスを使用します。

  • license-manager:

  • license-manager-user-subscriptions:

  • license-manager-linux-subscriptions:

例:

  • license-manager:CreateLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager-user-subscriptions:ListIdentityProviders

  • license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

使用可能な License Manager の詳細についてはAPIs、以下のAPIリファレンスを参照してください。

単一のステートメントに複数のオペレーションを指定するには、次のようにコンマで区切ります。

"Action": ["license-manager:action1", "license-manager:action2"]

ワイルドカードを使用して複数のオペレーションを指定することもできます。例えば、次のように、名前が List という単語で始まるすべての License Manager APIオペレーションを指定できます。

"Action": "license-manager:List*"

すべての License Manager APIオペレーションを指定するには、次のように * ワイルドカードを使用します。

"Action": "license-manager:*"

License Manager ISVを使用する のポリシーの例

ISVs License Manager を介してライセンスを配布するには、次のアクセス許可が必要です。

{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

ユーザー、グループ、およびロールに許可を付与する

必要なIAMポリシーを作成したら、これらのアクセス許可をユーザー、グループ、ロールに付与する必要があります。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。