Amazon Timestream for LiveAnalytics に類似した機能をご希望の場合は Amazon Timestream for InfluxDB をご検討ください。リアルタイム分析に適した、シンプルなデータインジェストと 1 桁ミリ秒のクエリ応答時間を特徴としています。詳細については、[こちら](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Timestream for LiveAnalytics の ID とアクセスの管理
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Timestream for LiveAnalytics リソースの使用を*承認する* (権限を付与する) かを制御します。IAM は、追加料金なしで AWS のサービス 使用できる です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon Timestream for LiveAnalytics と IAM の連携方法](security_iam_service-with-iam.md)
+ [AWS Amazon Timestream Live Analytics の マネージドポリシー](security-iam-awsmanpol.md)
+ [Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [Amazon Timestream for LiveAnalytics のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon Timestream for LiveAnalytics のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon Timestream for LiveAnalytics と IAM の連携方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときに、これらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon Timestream for LiveAnalytics と IAM の連携方法
IAM を使用して Timestream for LiveAnalytics へのアクセスを管理する前に、Timestream for LiveAnalytics で使用できる IAM 機能について理解しておく必要があります。Timestream for LiveAnalytics およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Timestream for LiveAnalytics のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Timestream for LiveAnalytics のリソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Timestream for LiveAnalytics のタグに基づく承認](#security_iam_service-with-iam-tags)
+ [Timestream for LiveAnalytics の IAM ロール](#security_iam_service-with-iam-roles)
## Timestream for LiveAnalytics のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Timestream for LiveAnalytics は、特定のアクションとリソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
IAM ポリシーステートメントのアクション要素では、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーション、CLI コマンド、または SQL コマンドへのアクセスを許可または拒否します。
場合によっては、単一のアクションで API オペレーションと SQL コマンドへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Timestream for LiveAnalytics でサポートされている `Action` のリストについては、以下の表を参照してください。
**注記**
データベース固有の `Actions` すべてで、データベース ARN を指定して、アクションを特定のデータベースに制限できます。
| アクション | 説明 | アクセスレベル | リソースタイプ (\$1 必須) |
| --- | --- | --- | --- |
| DescribeEndpoint | 後続のリクエストを行う必要がある Timestream エンドポイントを返します。 | すべて | \$1 |
| Select | 1 つ以上のテーブルからデータを選択する Timestream でクエリを実行します。[詳しい説明は、こちらの注意事項を参照してください。](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | 読み取り | テーブル\$1 |
| CancelQuery | クエリをキャンセルします。 | 読み取り | \$1 |
| ListTables | テーブルのリストを取得します。 | リスト | データベース\$1 |
| ListDatabases | データベースのリストを取得します。 | リスト | \$1 |
| ListMeasures | メジャーのリストを取得します。 | 読み取り | テーブル\$1 |
| DescribeTable | テーブルの説明を取得します。 | 読み取り | テーブル\$1 |
| DescribeDatabase | データベースの説明を取得します。 | 読み取り | データベース\$1 |
| SelectValues | 特定のリソースを指定する必要がないクエリを実行します。[詳しい説明は、こちらの注意事項を参照してください](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues)。 | 読み取り | \$1 |
| WriteRecords | Timestream にデータを挿入します。 | 書き込み | テーブル\$1 |
| CreateTable | テーブルを作成します。 | 書き込み | データベース\$1 |
| CreateDatabase | データベースを作成します。 | 書き込み | \$1 |
| DeleteDatabase | データベースを削除します。 | 書き込み | \$1 |
| UpdateDatabase | データベースを更新します。 | 書き込み | \$1 |
| DeleteTable | テーブルを削除します。 | 書き込み | データベース\$1 |
| UpdateTable | テーブルを更新します。 | 書き込み | データベース\$1 |
#### SelectValues と Select:
`SelectValues` は、リソースを*必要としない*クエリに使用される `Action` です。リソースを必要としないクエリの例を次に示します。
```
SELECT 1
```
このクエリでは特定の Timestream for LiveAnalytics リソースを参照していないことに注意してください。別の例を考えてみましょう。
```
SELECT now()
```
このクエリは、`now()` 関数を使用して現在のタイムスタンプを返しますが、リソースを指定する必要はありません。`SelectValues` はテストによく使用されるため、Timestream for LiveAnalytics はリソースなしでクエリを実行できます。次に、`Select` クエリについて考えてみましょう。
```
SELECT * FROM database.table
```
このタイプのクエリでは、指定されたデータをテーブルから取得できるように、リソース、特に Timestream for LiveAnalytics `table` が必要です。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Timestream for LiveAnalytics では、IAM 権限の `Resource` 要素でデータベースとテーブルを使用できます。
Timestream for LiveAnalytics データベースリソースには、次の ARN があります。
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
Timestream for LiveAnalytics テーブルリソースには、次の ARN があります。
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `database` キースペースを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
特定のアカウントに属するすべてのデータベースを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
リソースの作成など、一部の Timestream for LiveAnalytics アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
### 条件キー
Timestream for LiveAnalytics にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
Timestream for LiveAnalytics のアイデンティティベースのポリシーの例を表示するには、「[Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Timestream for LiveAnalytics のリソースベースのポリシー
Timestream for LiveAnalytics は、リソースベースのポリシーをサポートしていません。詳細なリソースベースのポリシーページの例を表示するには、[https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) を参照してください。
## Timestream for LiveAnalytics のタグに基づく承認
タグを使用して、Timestream for LiveAnalytics リソースへのアクセスを管理できます。タグに基づいてリソースアクセスを管理するには、`timestream:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。Timestream for LiveAnalytics リソースのタグ付けの詳細については、「[リソースへのタグとラベルの追加](tagging-keyspaces.md)」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグに基づく Timestream for LiveAnalytics リソースへのアクセス](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags)」を参照してください。
## Timestream for LiveAnalytics の IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Timestream for LiveAnalytics での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
### サービスリンクロール
Timestream for LiveAnalytics は、サービスにリンクされたロールをサポートしていません。
### サービスロール
Timestream for LiveAnalytics はサービスロールをサポートしていません。
# AWS Amazon Timestream Live Analytics の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**Topics**
+ [AmazonTimestreamInfluxDBFullAccess](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [ポリシーの更新](#security-iam-awsmanpol-updates)
## AWS マネージドポリシー: AmazonTimestreamInfluxDBFullAccess
ユーザー、グループおよびロールに `AmazonTimestreamInfluxDBFullAccess` をアタッチできます。Amazon Timestream InfluxDB インスタンスを作成、更新、削除、一覧表示するためのポリシーアクセス。
**アクセス許可の詳細**
このポリシーには、以下の許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream InfluxDB インスタンスを作成、更新、削除、一覧表示し、パラメータグループを作成、一覧表示するための完全な管理者アクセス権を付与します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonTimestreamReadOnlyAccess
ユーザー、グループおよびロールに `AmazonTimestreamReadOnlyAccess` をアタッチできます。このポリシーは、Amazon Timestream への読み取り専用アクセス権を付与します。
**アクセス許可の詳細**
このポリシーには、以下の許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream への読み取り専用アクセス権を付与します。また、実行中のクエリをキャンセルする権限も付与します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonTimestreamConsoleFullAccess
ユーザー、グループおよびロールに `AmazonTimestreamConsoleFullAccess` をアタッチできます。
このポリシーは、 AWS マネジメントコンソールを使用して Amazon Timestream を管理するためのフルアクセス権を付与します。このポリシーは、保存されたクエリを管理する特定の AWS KMS オペレーションとオペレーションのアクセス許可も付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream へのフルアクセス権をプリンシパルに付与します。
+ `AWS KMS` — プリンシパルにエイリアスの一覧表示とキーの記述を許可します。
+ `Amazon S3` – プリンシパルにすべての Amazon S3 バケットの一覧表示を許可します。
+ `Amazon SNS` – プリンシパルに Amazon SNS トピックの一覧表示を許可します。
+ `IAM` – プリンシパルに IAM ロールの一覧表示を許可します。
+ `DBQMS` — プリンシパルにクエリへのアクセス、作成、削除、記述、および更新を許可します。データベースクエリメタデータサービス (dbqms) は、内部専用のサービスです。Amazon Timestream AWS のサービスを含む複数の の のクエリエディタ AWS マネジメントコンソール の最近のクエリと保存されたクエリを提供します。
+ `Pricing` – プリンシパルに作成時に InfluxDB リソース設定の料金見積もりへのアクセスを許可します。
+ `Marketplace` – プリンシパルにマーケットプレイスリソースへのアクセスと、リードレプリカ作成での InfluxDB クラスターの契約作成を許可します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonTimestreamFullAccess
ユーザー、グループおよびロールに `AmazonTimestreamFullAccess` をアタッチできます。
このポリシーは、Amazon Timestream へのフルアクセスを提供します。このポリシーは、特定の AWS KMS オペレーションに対するアクセス許可も付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream へのフルアクセス権をプリンシパルに付与します。
+ `AWS KMS` — プリンシパルにエイリアスの一覧表示とキーの記述を許可します。
+ `Amazon S3` – プリンシパルにすべての Amazon S3 バケットの一覧表示を許可します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html)」を参照してください。
## AWS マネージドポリシーへの Timestream Live Analytics の更新
このサービスがこれらの変更の追跡を開始してからの Timestream Live Analytics の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、[Timestream for LiveAnalytics ドキュメント履歴](doc-history.md)ページから、RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | Timestream for InfluxDB は、エンタープライズマーケットプレイス製品へのサブスクリプションをサポートするために、Influx Enterprise マーケットプレイス製品 ID を既存の `AmazonTimestreamInfluxDBFullAccess` マネージドポリシーに追加しました。これらのアクセス許可は、特定の のみへのアクセスを制限する条件により、特定の AWS Marketplace 製品に制限されます`ProductIds`。「[AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies)」を参照してください。 | 2025 年 10 月 17 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | マーケット AWS プレイスリソースにアクセスし、リードレプリカ作成で InfluxDB クラスターの契約を作成するための Marketplace アクセス許可を既存の `AmazonTimestreamConsoleFullAccess`マネージドポリシーに追加しました。 Timestream for LiveAnalytics は、`Sid` フィールドを追加してこのマネージドポリシーも更新しました。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2025 年 8 月 20 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | 作成時に InfluxDB リソース設定の料金見積もりを提供する `pricing:GetProducts` アクションを既存の `AmazonTimestreamConsoleFullAccess` マネージドポリシーに追加しました。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2025 年 6 月 10 日 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamReadOnlyAccess` マネージドポリシーに `timestream:DescribeAccountSettings` アクションが追加されました。このアクションは、 AWS アカウント 設定を記述するために使用されます。 Timestream for LiveAnalytics は、`Sid` フィールドを追加してこのマネージドポリシーも更新しました。 ポリシーの更新は、`AmazonTimestreamReadOnlyAccess` マネージドポリシーの使用には影響しません。 | 2024 年 6 月 3 日 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamReadOnlyAccess` マネージドポリシーに `timestream:DescribeBatchLoadTask` および `timestream:ListBatchLoadTasks` アクションが追加されました。これらのアクションは、バッチロードタスクを一覧表示および記述するときに使用されます。 ポリシーの更新は、`AmazonTimestreamReadOnlyAccess` マネージドポリシーの使用には影響しません。 | 2023 年 2 月 24 日 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamReadOnlyAccess` マネージドポリシーに `timestream:DescribeScheduledQuery` および `timestream:ListScheduledQueries` アクションが追加されました。これらのアクションは、既存のスケジュールされたクエリを一覧表示および記述するときに使用されます。 ポリシーの更新は、`AmazonTimestreamReadOnlyAccess` マネージドポリシーの使用には影響しません。 | 2021 年 11 月 29 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamConsoleFullAccess` マネージドポリシーに `s3:ListAllMyBuckets` アクションが追加されました。このアクションは、Timestream の Amazon S3 バケットを指定してマグネティックストアの書き込みエラーをログ記録する場合に使用されます。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2021 年 11 月 29 日 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess) – 既存のポリシーへの更新 | 既存の `AmazonTimestreamFullAccess` マネージドポリシーに `s3:ListAllMyBuckets` アクションが追加されました。このアクションは、Timestream の Amazon S3 バケットを指定してマグネティックストアの書き込みエラーをログ記録する場合に使用されます。 ポリシーの更新は、`AmazonTimestreamFullAccess` マネージドポリシーの使用には影響しません。 | 2021 年 11 月 29 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamConsoleFullAccess` マネージドポリシーから冗長アクションを削除しました。以前は、このポリシーには冗長アクション `dbqms:DescribeQueryHistory` が含まれていました。更新されたポリシーは、冗長アクションを削除します。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2021 年 4 月 23 日 |
| Timestream for LiveAnalytics が変更の追跡を開始 | Timestream Live Analytics は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 4 月 21 日 |
# Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例
デフォルトでは、IAM ユーザーおよびロールには、Timestream for LiveAnalytics リソースを作成または変更する権限はありません。また、、CQLSH AWS マネジメントコンソール、、 AWS CLIまたは AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Timestream for LiveAnalytics コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Timestream for LiveAnalytics の一般的なオペレーション](#security_iam_id-based-policy-examples-common-operations)
+ [タグに基づく Timestream for LiveAnalytics リソースへのアクセス](#security_iam_id-based-policy-examples-tags)
+ [スケジュールされたクエリ](#security_iam_id-based-policy-examples-sheduledqueries)
## ポリシーに関するベストプラクティス
アイデンティティベースポリシーは、アカウントで、あるユーザーが Timestream for LiveAnalytics リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Timestream for LiveAnalytics コンソールの使用
Timestream for LiveAnalytics には、Amazon Timestream for LiveAnalytics コンソールにアクセスするための特定の権限は必要ありません。 AWS アカウントの LiveAnalytics リソースの Timestream の詳細を一覧表示および表示するには、少なくとも読み取り専用のアクセス許可が必要です。最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Timestream for LiveAnalytics の一般的なオペレーション
以下は、Timestream for LiveAnalytics サービスの一般的なオペレーションを許可する IAM ポリシーの例です。
**Topics**
+ [すべてのオペレーションを許可する](#security_iam_id-based-policy-examples-common-operations.all)
+ [SELECT オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.select)
+ [複数のリソースに対する SELECT オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [メタデータオペレーションの許可](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [INSERT オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.insert)
+ [CRUD オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.crud)
+ [クエリをキャンセルし、リソースを指定せずにデータを選択する](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [データベースの作成、記述、削除、更新](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [リストされたデータベースをタグ `{"Owner": "${username}"}` で制限する](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [データベース内のテーブルの一覧表示](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [テーブルでの作成、記述、削除、更新、選択](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [テーブルによるクエリの制限](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### すべてのオペレーションを許可する
以下は、Timestream for LiveAnalytics のすべてのオペレーションを許可するサンプルポリシーです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### SELECT オペレーションの許可
次のサンプルポリシーは、特定のリソースに対して `SELECT` スタイルのクエリを許可します。
**注記**
`` は自分の Amazon アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### 複数のリソースに対する SELECT オペレーションの許可
次のサンプルポリシーは、複数のリソースに対して `SELECT` スタイルのクエリを許可します。
**注記**
`` は自分の Amazon アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### メタデータオペレーションの許可
次のサンプルポリシーは、メタデータクエリの実行をユーザーに許可しますが、Timestream for LiveAnalytics で実際のデータを読み書きするオペレーションの実行は許可しません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### INSERT オペレーションの許可
次のサンプルポリシーは、アカウント `` の `database/sampleDB/table/DevOps` で `INSERT` オペレーションを実行することをユーザーに許可します。
**注記**
`` は自分の Amazon アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### CRUD オペレーションの許可
次のサンプルポリシーは、ユーザーに Timestream for LiveAnalytics での CRUD オペレーション実行を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### クエリをキャンセルし、リソースを指定せずにデータを選択する
次のサンプルポリシーは、ユーザーがクエリをキャンセルし、リソース仕様を必要としないデータに対して `Select` クエリを実行することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### データベースの作成、記述、削除、更新
次のサンプルポリシーは、ユーザーに `sampleDB` データベースの作成、記述、削除を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### リストされたデータベースをタグ `{"Owner": "${username}"}` で制限する
次のサンプルポリシーは、ユーザーにキーと値のペア `{"Owner": "${username}"}` でタグ付けされたすべてのデータベースの一覧表示を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### データベース内のテーブルの一覧表示
次のサンプルポリシーは、データベース `sampleDB` 内のすべてのテーブルを一覧表示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### テーブルでの作成、記述、削除、更新、選択
次のサンプルポリシーは、データベース `sampleDB` 内でのテーブルの作成、テーブルの記述、テーブルの削除、テーブルの更新、テーブル `DevOps` に対する `Select` クエリの実行をユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### テーブルによるクエリの制限
次のサンプルポリシーは、ユーザーにデータベース `sampleDB` で `DevOps` を除くすべてのテーブルのクエリ実行を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## タグに基づく Timestream for LiveAnalytics リソースへのアクセス
アイデンティティベースのポリシーの条件を使用して、タグに基づいて Timestream for LiveAnalytics リソースへのアクセスを管理できます。このセクションでは、いくつかの例を紹介します。
次の例で、テーブルの `Owner` にユーザーのユーザー名の値が含まれている場合に、そのテーブルを表示するためのアクセス許可をユーザーに付与するポリシーを作成する方法について説明します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
このポリシーはアカウントの IAM ユーザーにアタッチできます。`richard-roe` という名前のユーザーが Timestream for LiveAnalytics テーブルを表示しようとする場合、そのテーブルには `Owner=richard-roe` または `owner=richard-roe` とタグ付けされている必要があります。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字は区別されないため、条件タグキー `Owner` は `Owner` と `owner` に一致します。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
次のポリシーは、リクエストで渡されたタグにキー `Owner` と値 `username` がある場合に、ユーザーにそのタグを使用してテーブルを作成する権限を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
以下のポリシーは、`dev` または `test` のいずれかに設定した `env` タグを持つデータベースでの `DescribeDatabase` API の使用を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
このポリシーでは、`Condition` キーを使って、キー `env` と値 `test`、`qa`、`dev` のいずれかを持つタグをリソースに追加できます。
## スケジュールされたクエリ
### ScheduledQuery の一覧表示、削除、更新、実行
次のサンプルポリシーは、ユーザーにスケジュールされたクエリの一覧表示、削除、更新、実行を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### カスタマーマネージド KMS キーを使用した CreateScheduledQuery
次のサンプルポリシーは、カスタマーマネージド KMS キー ** を使用して暗号化されたスケジュールされたクエリをユーザーが作成することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### カスタマーマネージド KMS キーを使用した DescribeScheduledQuery
次のサンプルポリシーは、カスタマーマネージド KMS キー ** を使用して作成されたスケジュールされたクエリをユーザーが記述することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### 実行ロールの権限 (スケジュールされたクエリにはカスタマーマネージド KMS キーを使用し、エラーレポートには SSE-KMS を使用)
次のサンプルポリシーを、エラーレポートのスケジュールされたクエリの暗号化と `SSE-KMS` 暗号化にカスタマーマネージド KMS キーを使用する `CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### 実行ロールの信頼関係
以下は、`CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールの信頼関係です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### アカウント内で作成されたすべてのスケジュールされたクエリへのアクセスを許可する
次のサンプルポリシーを `CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールにアタッチして、アカウント *Account\$1ID* 内で作成されたすべてのスケジュールされたクエリへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### 特定の名前でスケジュールされたすべてのクエリへのアクセスを許可する
次のサンプルポリシーを `CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールにアタッチして、アカウント *Account\$1ID* 内で *Scheduled\$1Query\$1Name* で始まる名前でスケジュールされたすべてのクエリへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Amazon Timestream for LiveAnalytics のアイデンティティとアクセスのトラブルシューティング
次の情報は、Timestream for LiveAnalytics と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Timestream for LiveAnalytics でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [自分の AWS アカウント以外のユーザーに Timestream for LiveAnalytics リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Timestream for LiveAnalytics でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。
以下のエラーの例は、`mateojackson` IAM ユーザーがコンソールを使用して*テーブル*の詳細を表示したときに、そのテーブルの `timestream:Select` 権限を持っていない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
この場合、Mateo は、`timestream:Select` アクションを使用して `mytable` リソースにアクセスできるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Timestream for LiveAnalytics にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
次の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Timestream for LiveAnalytics でアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の AWS アカウント以外のユーザーに Timestream for LiveAnalytics リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Timestream for LiveAnalytics がこれらの機能をサポートしているかどうかを確認するには、「[Amazon Timestream for LiveAnalytics と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。