翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
と AWS RAM の仕組み IAM
デフォルトでは、IAMプリンシパルには AWS RAM リソースを作成または変更するアクセス許可がありません。IAM プリンシパルがリソースを作成または変更し、タスクを実行できるようにするには、次のいずれかの手順を実行します。これらのアクションは、特定のリソースとAPIアクションを使用するアクセス許可を付与します。
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
ID プロバイダーIAMを介して で管理されるユーザー:
ID フェデレーションのロールを作成します。IAM 「 ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) のロールを作成する」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 ユーザーガイド」のIAM「ユーザーのロールを作成する」の指示に従います。 IAM
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。IAM ユーザーガイドの「ユーザー (コンソール) へのアクセス許可を追加する」の手順に従います。
-
AWS RAM には、多くのユーザーのニーズに対応するために使用できるいくつかの AWS マネージドポリシーが用意されています。これらの詳細については、「AWS の AWS RAM 管理ポリシー」を参照してください。
ユーザーに付与するアクセス許可をより細かく制御する必要がある場合は、IAMコンソールで独自のポリシーを作成できます。ポリシーの作成とIAMロールとユーザーへのアタッチの詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「 のポリシーとアクセス許可IAM」を参照してください。
以下のセクションでは、IAMアクセス許可ポリシーを構築するための AWS RAM 具体的な詳細について説明します。
ポリシーの構造
IAM アクセス許可ポリシーは、Effect、Action、Resource、Condition のステートメントを含むJSONドキュメントです。IAM ポリシーは通常、次の形式になります。
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
効果
効果文は、ポリシーでアクションを実行するプリンシパルアクセスを許可するか拒否するかを示します。指定できる値は、Allow および Deny などです。
アクション
Action ステートメントは、 AWS RAM APIポリシーがアクセス許可を許可または拒否するアクションを指定します。許可されるアクションの完全なリストについては、 IAM ユーザーガイドの「 で定義されているアクション AWS Resource Access Manager」を参照してください。
リソース
Resource ステートメントは、ポリシーの影響を受ける AWS RAM リソースを指定します。ステートメントでリソースを指定するには、一意の Amazon リソースネーム () を使用する必要がありますARN。許可されたリソースの完全なリストについては、 ユーザーガイドの「 で定義されているリソース AWS Resource Access Manager」を参照してください。 IAM
条件
条件ステートメントはオプションです。ポリシーが適用される条件をさらに絞り込むために使用できます。 は、次の条件キー AWS RAM をサポートしています。
-
aws:RequestTag/${TagKey}- 指定されたタグキーを含むタグがサービスリクエストに存在し、指定された値があるかどうかをテストします。 -
aws:ResourceTag/${TagKey}— サービスリクエストの対象となるリソースに、ポリシーで指定したタグキーが付いたタグがアタッチされているかどうかをテストします。次の条件例では、サービスリクエストで参照されているリソースに、キー名「Owner」、値「Dev Team」のタグがアタッチされているかどうかを確認します。
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } } -
aws:TagKeys- リソース共有の作成またはタグ付けに使用すべきタグキーを指定します。 -
ram:AllowsExternalPrincipals- サービスリクエスト内のリソース共有が外部プリンシパルとの共有を許可しているかどうかをテストします。外部プリンシパルは、 内の組織 AWS アカウント 外です AWS Organizations。ここでFalseと評価された場合、このリソース共有は同じ組織内のアカウントでのみ共有できます。 -
ram:PermissionArn– サービスリクエストでARN指定されたアクセス許可が、ポリシーで指定したARN文字列と一致するかどうかをテストします。 -
ram:PermissionResourceType- サービスリクエストで指定されたアクセス許可が、ポリシーで指定したリソースタイプで有効かどうかをテストします。リソースタイプは、共有可能なリソースタイプの一覧に示す形式に従って指定する必要があります。 -
ram:Principal– サービスリクエストで指定されたプリンシパルARNの が、ポリシーで指定したARN文字列と一致するかどうかをテストします。 -
ram:RequestedAllowsExternalPrincipals- サービスリクエストにallowExternalPrincipalsパラメータが含まれているかどうか、またその引数がポリシーで指定した値と一致するかどうかをテストします。 -
ram:RequestedResourceType- 処理対象リソースのリソースタイプが、ポリシーで指定したリソースタイプ文字列と一致するかどうかをテストします。リソースタイプは、共有可能なリソースタイプの一覧に示す形式に従って指定する必要があります。 -
ram:ResourceArn– サービスリクエストによって処理されるリソースARNの が、ポリシーでARN指定した と一致するかどうかをテストします。 -
ram:ResourceShareName- サービスリクエストの処理対象リソースの名前が、ポリシーで指定した文字列と一致するかどうかをテストします。 -
ram:ShareOwnerAccountId- サービスリクエストの処理対象リソースのアカウント ID 番号が、ポリシーで指定した文字列と一致するかどうかをテストします。
