翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# HealthOmics のアイデンティティベースの IAM ポリシー
<a name="permissions-user"></a>

アカウントのユーザーに HealthOmics へのアクセスを許可するには、 AWS Identity and Access Management (IAM) でアイデンティティベースのポリシーを使用します。ID ベースのポリシーは、IAM ユーザー、またはユーザーに関連付けられている IAM グループとロールに直接適用できます。また、別のアカウントのユーザーに、アカウントのロールを引き受け、HealthOmics リソースにアクセスするアクセス許可を付与することもできます。

ワークフローバージョンでアクションを実行するアクセス許可をユーザーに付与するには、ワークフローと特定のワークフローバージョンをリソースリストに追加する必要があります。

次の IAM ポリシーは、ユーザーがすべての HealthOmics API アクションにアクセスし、[サービスロール](permissions-service.md)を HealthOmics に渡すことを許可します。

**Example ユーザーポリシー**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "omics:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "omics.amazonaws.com"
        }
      }
    }
  ]
}
```

HealthOmics を使用する場合は、他の AWS サービスともやり取りします。これらのサービスにアクセスするには、各サービスが提供する管理ポリシーを使用します。リソースのサブセットへのアクセスを制限するには、管理ポリシーを開始点として使用して、より制限の厳しい独自のポリシーを作成できます。

****
+ [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) – ジョブで使用される Amazon S3 バケットとオブジェクトへのアクセス。

  
+ [AmazonEC2ContainerRegistryFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryFullAccess) – ワークフローコンテナイメージの Amazon ECR レジストリとリポジトリへのアクセス。

  
+ [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin) – 分析ストアによって作成された Lake Formation データベースとテーブルへのアクセス。

  
+ [ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess) – HealthOmics リソースに HealthOmics タグ付け API オペレーションをタグ付けします。

  

前述のポリシーでは、ユーザーが IAM ロールを作成することはできません。これらのアクセス許可を持つユーザーがジョブを実行するには、管理者は HealthOmics にデータソースへのアクセス許可を付与するサービスロールを作成する必要があります。詳細については、「[のサービスロール AWS HealthOmics](permissions-service.md)」を参照してください。

## 実行のカスタム IAM アクセス許可を定義する
<a name="permissions-workflow-runs"></a>

`StartRun` リクエストによって参照される任意のワークフロー、実行、または実行グループを認可リクエストに含めることができます。これを行うには、IAM ポリシーでワークフロー、実行、または実行グループの必要な組み合わせを一覧表示します。たとえば、ワークフローの使用を特定の実行または実行グループに制限できます。ワークフローを実行グループでのみ使用するように指定することもできます。

以下は、単一の実行グループを持つ単一のワークフローを許可する IAM ポリシーの例です。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:workflow/1234567",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:GetRun",
              "omics:ListRunTasks",
              "omics:GetRunTask",
              "omics:CancelRun",
              "omics:DeleteRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*"
          ]
      }     
  ]
}
```

------