翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

検索用の Resource Explorer ビューへのアクセス許可の付与

ユーザーが新しいビューで検索するには、そのユーザーに AWS Resource Explorer ビューへのアクセス許可を付与する必要があります。そのためには、そのビューで検索を実行する必要がある AWS Identity and Access Management (IAM) プリンシパルに ID ベースのアクセス許可ポリシーを適用します。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

次のいずれかの方法を使用します。

タグベースの認証を使用してビューへのアクセスを制御します。

特定のリソースのみを含む結果を返すフィルター付きのビューを複数作成する場合、それらのビューへのアクセスを、それらのリソースを見る必要のあるプリンシパルのみに制限したい場合があると思います。属性ベースのアクセス制御 (ABAC) 戦略を使用することで、アカウント内のビューについてこのようなセキュリティを提供できます。ABAC が使用する属性は、AWS で操作を実行しようとするプリンシパルと、プリンシパルがアクセスを試みるリソースの両方に付けられるタグです。

ABAC はプリンシパルにアタッチされた標準の IAM 権限ポリシーを使用します。ポリシーは、ポリシーステートメントの Condition の項目を使用して、リクエスト元のプリンシパルに添付されたタグと対象のリソースに添付されたタグの両方がポリシーの要件と一致する場合にのみアクセスを許可します。

たとえば、会社の生産アプリケーションをサポートするすべての AWS リソースに "Environment" = "Production" タグを付けることができます。本番環境へのアクセスを許可されたプリンシパルのみがリソースを参照できるようにするには、そのタグをフィルターとして使用する Resource Explorer ビューを作成します。次に、ビューへのアクセスを適切なプリンシパルのみに制限するには、以下の項目例のような条件を持つポリシーを使用してアクセス許可を付与します。

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

前の例の Condition では、リクエストを行うプリンシパルにアタッチされた Environment タグが、リクエストで指定されたリソースに添付された Environment タグと一致する場合にのみリクエストを許可するよう指定しています。この 2 つのタグが完全に一致しない場合、またはどちらかのタグが欠落している場合、Resource Explorer はリクエストを拒否します。

ABAC 戦略の正しい実装方法の詳細については、「IAM ユーザーガイド」の以下のトピックを参照してください。

必要な ABAC インフラストラクチャが整ったら、[タグの使用開始] を使用して、どのユーザーにアカウント内の Resource Explorer ビューを使用した検索を許可するかを制御できます。この原則を説明するポリシー例については、以下のアクセス許可ポリシー例を参照してください。