権限を使用することで AWS リソースへのアクセス権を指定できます。権限は IAM エンティティ (ユーザー、グループ、およびロール) に対して付与されます。デフォルトではこれらのエンティティには権限は設定されません。つまり、IAM エンティティは、管理者が特定の権限を付与するまで AWS では何もできません。エンティティに権限を付与するには、アクセス権の種類、実行できるアクション、アクションを実行するリソースを指定したポリシーをアタッチします。また、アクセスを許可または拒否するために必要な条件を指定できます。

How to Become an IAM Policy Ninja in 60 Minutes or Less
55:38
How to Become an AWS IAM Policy Ninja in 60 Minutes or Less

AWS を無料でお試しください

まずは無料で始める
またはコンソールにサインイン

AWS 無料利用枠には、Amazon ElastiCache の 750 時間分のマイクロキャッシュノードが含まれています。

AWS 無料利用枠の詳細はこちら »

ユーザー、グループ、ロール、リソースに権限を割り当てるには、ポリシーを作成します。ポリシーは以下の内容を指定できます。

  • Action – 許可する AWS サービスアクション。例えば、ユーザに Amazon S3 ListBucket アクションの呼び出しを許可することができます。明示的に許可していないアクションはすべて禁止されます。
  • Resource – アクションの対象として許可する AWS リソース。例えば、ユーザが ListBucket アクションをどの Amazon S3 バケットに対して実行してもよいかを指定します。ユーザは明示的にアクセス許可を与えられていないリソースにはアクセスできません。
  • Effect – アクセスを許可するか拒否するか。アクセスはデフォルトで拒否されるため、通常は許可する場合にポリシーを記述します。
  • Condition – ポリシーを有効にするために必要な条件。例えば、ユーザーが特定の IP 範囲から接続している場合、またはログイン時に多要素認証を使用した場合に、特定の S3 バケットにのみアクセス権を付与できます。

ビジュアルエディターまたは JSON を使用してポリシーを作成します。ポリシーは 1 つ以上のステートメントで構成され、各ステートメントが 1 セットのアクセス許可を記述します。ポリシー言語の詳細については、AWS IAM ポリシーの参照をご覧ください。

ビジュアルエディターを使用すると、JSON でポリシーを記述することなく IAM ポリシーでアクセス許可を付与することができます (必要があれば、JSON でポリシーを許可および編集することもできます)。次のスクリーンショットのポリシーはビジュアルエディターで作成されたものです。このポリシーは、プレフィックスが MyPrefix で始まる場合に、SampleBucket 内の S3 バケットとオブジェクトに対して 5 つの Amazon S3 一覧表示アクションと読み取りアクションを許可します。

ビジュアルエディターのスクリーンショット

AWS マネジメントコンソールを使用してアクセス許可を管理する場合、ポリシー概要を表示できます。ポリシー概要には、ポリシーで定義されている各サービスのアクセスレベル、リソース、条件の一覧が表示されます (以下のスクリーンショットを参照)。ポリシーで定義されるアクセス許可について理解しやすくなるように、各 AWS サービスのアクションは、一覧表示読み取り書き込みアクセス許可の管理という 4 つのアクセスレベルに分類されています。

ポリシー概要のスクリーンショット

AWS によって事前に定義されたポリシーを選択するか、ポリシーマネージャを使用して新しいポリシーを作成できます。詳細については、IAM ユーザーガイドIAM ポリシーの概要セクションを参照してください。