

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM ロールポリシーステートメントを使用してアクセス許可を制限する
<a name="request-iam-user"></a>

AMS は IAM ロールを使用して、フェデレーションサービスを通じてユーザーアクセス許可を設定します。

**単一アカウントランディングゾーン AMS**: [「SALZ: デフォルトの IAM ユーザーロール](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role)」を参照してください。

**マルチアカウントランディングゾーン AMS**: [「MALZ: デフォルトの IAM ユーザーロール](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz)」を参照してください。

IAM ロールは、 AWS サービスリクエストを行うための一連のアクセス許可を定義する IAM エンティティです。IAM ロールは、特定のユーザーまたはグループに関連付けられていません。代わりに、信頼されたエンティティは、IAM ユーザー、アプリケーション、Amazon EC2 などの AWS サービスなどのロールを引き受けます。詳細については、[「IAM ロール」](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を参照してください。

`Policy` リクエストフィールドでより制限の厳しい IAM ポリシーを渡すことで、 AWS Security Token Service (STS) API オペレーション [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) を使用して、AMS IAM ユーザーロールを引き受けるユーザーに必要なポリシーの範囲を絞り込むことができます。

次に、CT アクセスを制限するために使用できるポリシーステートメントの例を示します。

設定した Active Directory (AD) グループと AWS Security Token Service (STS) API オペレーション [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) を使用して、特定の変更タイプ (CTs) へのアクセスの制限など、特定のユーザーまたはグループのアクセス許可を設定できます。以下に示すポリシーステートメントを使用して、さまざまな方法で CT アクセスを制限できます。

すべての AMS API コール (amscm および amsskms) およびすべての変更タイプへのアクセスを許可するデフォルトの IAM インスタンスプロファイルの AMS 変更タイプステートメント:

```
{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}
```

1. 指定された 2 つの CTs「アクション」は AMS API オペレーション ( `amscm`または `amsskms`) で、「リソースIDs とバージョン番号を表します。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "amscm:*",
               "Resource": [
                   "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                   "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
               ]
           }
       ]
   }
   ```

------

1. 指定された 2 つの CTs でのみ CreateRfc、UpdateRfc、および SubmitRfc へのアクセスを許可するステートメント:

1. 使用可能なすべての CTs で CreateRfc、UpdateRfc、および SubmitRfc へのアクセスを許可するステートメント:

1. 制限付き CT に対するすべてのアクションのアクセスを拒否し、他の CTs で許可するステートメント: