AWS Payment Cryptography と IAM の連携方法 - AWS Payment Cryptography
AWS Payment Cryptography のアイデンティティベースのポリシーAWS Payment Cryptography タグに基づく承認

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Payment Cryptography と IAM の連携方法

IAM を使用して AWS Payment Cryptography へのアクセスを管理する前に、 AWS Payment Cryptography で使用できる IAM 機能を理解しておく必要があります。 AWS Payment Cryptography およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、Word IAMユーザーガイドAWS IAM と連携する のサービス」を参照してください。

AWS Payment Cryptography のアイデンティティベースのポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。 AWS Payment Cryptography は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、JSONIAM ユーザーガイド」の「Word ポリシー要素リファレンス」を参照してください。 IAM

アクション

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、 associated AWS API オペレーションと同じです。一致する API オペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

AWS Payment Cryptography のポリシーアクションは、アクションの前にプレフィックス を使用しますpayment-cryptography:。例えば、 AWS Payment Cryptography VerifyCardData API オペレーションを実行するアクセス許可を付与するには、ポリシーに payment-cryptography:VerifyCardDataアクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。 AWS Payment Cryptography は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "payment-cryptography:action1",
      "payment-cryptography:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、List という単語で始まるすべてのアクション(ListKeysListAliases など) を指定するには、次のアクションを含めます。

"Action": "payment-cryptography:List*"

AWS Payment Cryptography アクションのリストを確認するには、IAM ユーザーガイドAWS 「 Payment Cryptography で定義されるアクション」を参照してください。

リソース

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON Policy 要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Payment-cryptography キーリソースには、次のARNがあります。

arn:${Partition}:payment-cryptography:${Region}:${Account}:key/${keyARN}

ARNs の形式の詳細については、「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間」を参照してください。

例えば、 ステートメントでarn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2hインスタンスを指定するには、次のARNを使用します。

"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"

特定のアカウントに属するすべてのキーを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/*"

キーの作成など、一部の AWS Payment Cryptography アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

1 つのステートメントで複数のリソースを指定するには、以下のようにカンマを使用します。

"Resource": [
      "resource1",
      "resource2"

AWS Payment Cryptography のアイデンティティベースのポリシーの例を表示するには、「」を参照してくださいAWS Payment Cryptography のアイデンティティベースのポリシーの例

AWS Payment Cryptography タグに基づく承認