Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

MemoryDB リソースに対する許可の管理の概要

フォーカスモード
MemoryDB リソースに対する許可の管理の概要 - Amazon MemoryDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチできます。さらに、MemoryDB では、アクセス許可ポリシーをリソースにアタッチすることもできます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「 IAMユーザーガイド」のIAM「ベストプラクティス」を参照してください。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

MemoryDB リソースおよびオペレーション

MemoryDB では、プライマリリソースはクラスターです。

これらのリソースには、次に示すように一意の Amazon リソースネーム (ARNs) が関連付けられています。

注記

リソースレベルのアクセス許可を有効にするには、ARN文字列のリソース名を小文字にする必要があります。

リソースタイプ ARN 形式

ユーザー

arn:aws:memorydb:us-east-1:123456789012:user/user1

アクセスコントロールリスト (ACL)

arn:aws:memorydb:us-east-1:123456789012:acl/myacl

クラスター

arn:aws:memorydb:us-east-1:123456789012:cluster/my-cluster

Snapshot

arn:aws:memorydb:us-east-1:123456789012:snapshot/my-snapshot

パラメータグループ

arn:aws:memorydb:us-east-1:123456789012:parametergroup/my-parameter-group

サブネットグループ

arn:aws:memorydb:us-east-1:123456789012:subnetgroup/my-subnet-group

MemoryDB では、MemoryDB リソースを操作する一連のオペレーションが用意されています。可能なオペレーションのリストについては、MemoryDB「アクション」を参照してください。

リソース所有権についての理解

リソース所有者は、リソースを作成した AWS アカウントです。つまり、リソース所有者は、リソースを作成するリクエストを認証するプリンシパルエンティティの AWS アカウントです。プリンシパルエンティティは、ルートアカウント、 IAM ユーザー、または IAMロールです。次の例は、この仕組みを示しています。

  • AWS アカウントのルートアカウントの認証情報を使用してクラスターを作成するとします。この場合、 AWS アカウントはリソースの所有者です。MemoryDB では、リソースはクラスターです。

  • AWS アカウントに IAM ユーザーを作成し、そのユーザーにクラスターを作成するアクセス許可を付与するとします。この場合、ユーザーはクラスターを作成できます。ただし、ユーザーが属する AWS アカウントがクラスターリソースを所有しています。

  • クラスターを作成するアクセス許可を持つ IAMロールを AWS アカウントに作成するとします。この場合、ロールを引き受けることができるいずれのユーザーもクラスターを作成できます。ロールが属する AWS アカウントは、クラスターリソースを所有しています。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、MemoryDB のコンテキストIAMでの の使用について説明します。これは、IAM サービスに関する詳細情報を取得できません。詳細なIAMドキュメントについては、 IAMユーザーガイド「 IAMとは」を参照してください。IAM ポリシーの構文と説明については、「 IAMユーザーガイド」のAWS IAM「 ポリシーリファレンス」を参照してください。

IAM アイデンティティにアタッチされているポリシーは、アイデンティティベースのポリシー (IAM ポリシー) と呼ばれます。リソースに添付されたポリシーは、リソースベースのポリシーと呼ばれます。

アイデンティティベースのポリシー (IAM ポリシー)

ポリシーを IAM アイデンティティにアタッチできます。例えば、次のオペレーションを実行できます。

  • アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、アクセス許可を付与できます。この場合、アクセス許可は、そのユーザーがクラスター、パラメータグループ、セキュリティグループなどの MemoryDB リソースを作成するためのものです。

  • アクセス許可ポリシーをロールにアタッチする (クロスアカウントのアクセス許可を付与) – アイデンティティベースのアクセス許可ポリシーを IAM ロールにアタッチして、クロスアカウントのアクセス許可を付与することができます。たとえば、アカウント A の管理者は、次のように別の AWS アカウント (アカウント B など) または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。

    1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに権限を付与するロールに権限ポリシーをアタッチします。

    2. アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。

    3. アカウント B の管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーがアカウント A のリソースを作成またはアクセスできるようになります。場合によっては、ロールを引き受ける AWS サービスアクセス許可を に付与することもできます。このアプローチをサポートするために、信頼ポリシーのプリンシパルを AWS のサービスのプリンシパルにすることもできます。

    を使用してアクセス許可IAMを委任する方法の詳細については、「 IAMユーザーガイド」の「アクセス管理」を参照してください。

以下は、ユーザーが AWS アカウントの DescribeClustersアクションを実行できるようにするポリシーの例です。MemoryDB は、 APIアクションARNsの リソースを使用した特定のリソースの識別もサポートしています。(このアプローチは、リソースレベルのアクセス許可とも呼ばれます)。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeClusters", "Effect": "Allow", "Action": [ "memorydb:DescribeClusters"], "Resource": resource-arn } ] }

でアイデンティティベースのポリシーを使用する場合の詳細については、MemoryDB「MemoryDB でのアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイドの「アイデンティティ (ユーザー、グループ、ロール」を参照してください。

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

MemoryDB リソースごとに (「」を参照MemoryDB リソースおよびオペレーション)、サービスは一連のAPIオペレーションを定義します (「アクション」を参照)。これらのAPIオペレーションのアクセス許可を付与するために、MemoryDB はポリシーで指定できる一連のアクションを定義します。例えば、MemoryDB クラスターリソースに対して、アクション CreateClusterDeleteClusterDescribeClusters を定義します。API オペレーションを実行するには、複数のアクションに対するアクセス許可が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。

  • リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「MemoryDB リソースおよびオペレーション」を参照してください。

  • アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。例えば、指定した Effect に応じて、memorydb:CreateCluster アクセス権限では、MemoryDB CreateCluster オペレーションの実行をユーザーに許可または拒否します。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。リソースへのアクセスを明示的に拒否することもできます。例えば、別のポリシーでリソースへのアクセスが許可されているユーザーに対して、そのリソースへのアクセスを禁止できます。

  • プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが暗黙のプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。

IAM ポリシーの構文と説明の詳細については、「 IAMユーザーガイド」のAWS IAM「 ポリシーリファレンス」を参照してください。

すべての MemoryDB APIアクションを示す表については、「」を参照してくださいMemoryDB アクセスAPI許可: アクション、リソース、および条件リファレンス

ポリシーの条件の指定

アクセス権限を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.