アクセス許可を使用することで AWS リソースへのアクセス権を指定できます。アクセス許可は IAM エンティティ (ユーザー、グループ、およびロール) に対して付与されます。デフォルトではこれらのエンティティにはアクセス許可は設定されていません。つまり、IAM エンティティは、ユーザーが特定のアクセス許可を付与するまで AWS では何もできません。エンティティにアクセス許可を付与するには、アクセス権の種類、実行できるアクション、アクションを実行するリソースを指定したポリシーをアタッチします。また、アクセスを許可または拒否するために必要な条件を指定できます。

60 分以内に IAM ポリシーをマスターする (55:35)

ユーザー、グループ、ロール、リソースにアクセス許可を割り当てるには、ポリシーを作成します。ポリシーは以下の内容を指定できます。

  • Actions – 許可する AWS サービスアクション。例えば、ユーザーに Amazon S3 ListBucket アクションの呼び出しを許可することができます。明示的に許可していないアクションはすべて拒否されます。
  • Resources – アクションを許可するAWSリソース。例えば、ユーザーが ListBucket アクションをどの Amazon S3 バケットに対して実行してもよいかを指定します。 ユーザーは明示的にアクセス許可を与えられていないリソースにはアクセスできません。
  • Effect – アクセスの許可または拒否。アクセスはデフォルトで拒否されるため、通常は許可する場合にポリシーを書き込みます。
  • Conditions – ポリシーを有効にするために必要な条件。例えば、ユーザーが特定の IP 範囲から接続している場合、またはログイン時に多要素認証を使用した場合に、特定の S3 バケットにのみアクセス権を付与できます。

ビジュアルエディターまたは JSON を使用してポリシーを作成します。ポリシーは 1 つ以上のステートメントで構成され、各ステートメントが 1 セットのアクセス許可を記述します。ポリシー言語の詳細については、AWS IAM ポリシーの参照をご覧ください。

ビジュアルエディターを使用すると、JSON でポリシーを記述することなく IAM ポリシーでアクセス許可を付与することができます (必要があれば、JSON でポリシーを許可および編集することもできます)。次のスクリーンショットのポリシーはビジュアルエディターで作成されたものです。このポリシーは、プレフィックスが MyPrefix で始まる場合に、SampleBucket 内の S3 バケットとオブジェクトに対して 5 つの Amazon S3 一覧表示アクションと読み込みアクションを許可します。

ManagePermissions_JC_1117_a

AWS マネジメントコンソールを使用してアクセス許可を管理する場合、ポリシー概要を表示できます。ポリシー概要には、ポリシーで定義されている各サービスのアクセスレベル、リソース、条件の一覧が表示されます (次のスクリーンショットを参照)。ポリシーで定義されるアクセス許可について理解しやすくなるように、各 AWS サービスのアクションは、一覧表示読み込み書き込みアクセス許可の管理という 4 つのアクセスレベルに分類されています。

JC1final-UPDATED031017-a

AWS によって事前に定義されたポリシーを選択するか、ポリシージェネレーターを使用して新しいポリシーを作成できます。詳細については、IAM ユーザーガイドIAM ポリシーの概要セクションを参照してください。

AWS IAM の認証情報を管理する方法を学ぶ

認証情報管理のページにアクセスする
構築を始めましょう。
AWS IAM の使用を開始する
ご不明な点がおありですか?
お問い合わせ