翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Textract で IAM を使用する方法

IAM を使用して Amazon Textract へのアクセスを管理する前に、Amazon Textract で使用できる IAM 機能について理解しておく必要があります。Amazon Textract などの概要を説明します。AWSIAM と連携するサービスについては、「」を参照してください。AWSIAM と連携するサービスのIAM ユーザーガイド。

Amazon Textract のアイデンティティベースのポリシー

IAM のアイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon Textract は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシーの要素のリファレンス」を参照してください。

アクション

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの プリンシパル がどの リソース に対してどのような 条件 下で アクション を実行できるかということです。

JSON ポリシーの Action 要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS API 演算と同じです。一致する API 演算を持たないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要な演算もあります。これらの追加アクションは、依存アクション と呼ばれます。

このアクションは、関連付けられた操作を実行するための許可を付与するポリシーで使用されます。

Amazon Textract の非同期アクションには、開始アクションと Get アクションの 2 つのアクション権限が必要です。さらに、Amazon S3 バケットを使用してドキュメントを渡す場合は、アカウントに読み取りアクセス権を付与する必要があります。

Amazon Textract では、すべてのポリシーアクションは次のように始まります。textract:。 たとえば、Amazon Textract で Amazon Textract オペレーションを実行するためのアクセス許可を付与するには、AnalyzeDocumentオペレーションでは、textract:AnalyzeDocument彼らのポリシーでの行動。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon Textract は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには、以下のようにコンマで区切ります。

"Action": [
      "textract:action1",
      "textract:action2"

ワイルドカード (*) を使用して複数のアクションを指定することができます。例えば、Describe という単語で始まるすべてのアクションを指定するには、以下のアクションを含めます。

"Action": "textract:Describe*"

Amazon Textract のアクション一覧については、「」を参照してください。Amazon Textract で定義されるアクションのIAM ユーザーガイド。

リソース

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシーエレメントは、オブジェクトあるいはアクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルのアクセス許可 と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

操作のリスト化など、リソースレベルの許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。

"Resource": "*"

Amazon Textract では、ポリシーでリソース ARN を指定することはできません。

条件キー

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition エレメント (またはCondition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition エレメントはオプションです。イコールや以下などの 条件演算子 を使用する条件式を作成して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWSが論理的な OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー可変も使用できます。例えば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、『IAM ユーザーガイド』の「IAM ポリシーエレメント: 変数およびタグ」を参照してください。

AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、『IAM ユーザーガイド』の「AWS グローバル条件コンテキストキー」を参照してください。

Amazon Textract にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用をサポートしています。すべてのリストについてはAWSグローバル条件キー、「」を参照してください。AWSグローバル条件コンテキストキーのIAM ユーザーガイド。

例

Amazon Textract アイデンティティベースのポリシーの例を表示するには、「」を参照してください。Amazon Textract のアイデンティティベースのポリシーの例。

Amazon Textract のリソースベースのポリシー

Amazon Textract では、リソースベースのポリシーはサポートされていません。

Amazon Textract タグに基づく認可

Amazon Textract は、リソースのタグ付けやタグに基づいたアクセスの制御をサポートしていません。

Amazon Textract IAM ロール

IAM ロールは AWS アカウント内のエンティティで、特定の許可を持っています。

Amazon Textract での一時的な認証情報の使用

テンポラリ認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。テンポラリセキュリティ認証情報を取得するには、AWS STSAssumeRole または GetFederationToken などの API オペレーションを呼び出します。

Amazon Textract は、一時認証情報の使用をサポートしています。

サービスリンクロール

サービスリンクロールを使用すると、AWS のサービスがユーザーに代わって他のサービスのリソースにアクセスし、アクションを完了することができます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者はサービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Textract は、サービスにリンクされたロールをサポートしていません。

サービスロール

この機能では、サービスロールをユーザーに代わって引き受けることをサービスに許可します。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを実行できます。サービスロールは、IAM アカウントに表示され、サービスによって所有されます。つまり、IAM 管理者は、このロールのアクセス許可を変更できます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。

Amazon Textract ではサービスロールがサポートされています。