# Amazon EC2 のアイデンティティベースのポリシー
<a name="iam-policies-for-amazon-ec2"></a>

デフォルトではユーザーには Amazon EC2 リソースを作成または変更、または Amazon EC2 API、Amazon EC2 コンソールあるいは CLI を使用するタスクを実行する許可がありません。ユーザーがリソースを作成または変更、およびタスクを実行できるようにするにはIAM ポリシーを作成する必要があります。これによって、必要な特定のリソースおよび API アクションを使用するための許可をユーザーに付与し、その後、ポリシーをその許可が必要なユーザー、グループまたは IAM ロールにアタッチします。

ポリシーをユーザー、ユーザーのグループ、またはロールにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの許可が許可または拒否されます。IAM ポリシーの一般的な情報については「*IAM ユーザーガイド*」の「[IAM の許可とポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。&IAM; ポリシーの管理と作成の詳細については「[IAM ポリシーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)」を参照してください。

IAM ポリシーは1 つ以上の Amazon EC2 アクションを使用するアクセス許可を付与または拒否する必要があります。さらに、このアクションで使用できるリソース (すべてのリソースか、場合によっては特定のリソース) も指定する必要があります。このポリシーにはリソースに適用する条件も含めることができます。

最初に、Amazon EC2 の AWS マネージドポリシーがニーズを満たしているかどうかを確認できます。満たしていない場合は独自のカスタムポリシーを作成できます。詳細については、[Amazon EC2 の AWS マネージドポリシー](security-iam-awsmanpol.md)を参照してください。

**Topics**
+ [ポリシー構文](#policy-syntax)
+ [Amazon EC2 のアクション](#UsingWithEC2_Actions)
+ [Amazon EC2 API アクションでサポートされるリソースレベルのアクセス許可](#ec2-supported-iam-actions-resources)
+ [Amazon EC2 用の Amazon リソースネーム (ARN)](#EC2_ARN_Format)
+ [Amazon EC2 の条件キー](#amazon-ec2-keys)
+ [属性ベースのアクセスを使用するアクセスの制御](#control-access-with-tags)
+ [ユーザー、グループ、およびロールに許可を付与する](#granting-iam-permissions)
+ [ユーザーが必要なアクセス許可を持っているかどうかの確認](#check-required-permissions)

## ポリシー構文
<a name="policy-syntax"></a>

IAM ポリシーは 1 つ以上のステートメントで構成される JSON ドキュメントです。各ステートメントは次のように構成されます。

```
{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}
```

ステートメントはさまざまなエレメントで構成されます。
+ **Effect**: *effect* は`Allow` または `Deny` にすることができます。デフォルトでは ユーザーはリソースおよび API アクションを使用するアクセス許可がないため、リクエストはすべて拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に優先します。
+ [**Action**]: *action* はアクセス許可を付与または拒否する対象とする、特定の API アクションです。*action* の指定については[Amazon EC2 のアクション](#UsingWithEC2_Actions)を参照してください。
+ [**Resource**]: アクションによって影響を及ぼされるリソースです。Amazon EC2 API アクションの中にはアクションによって作成/変更できるリソースをポリシー内で特定できるものもあります。Amazon リソースネーム (ARN) を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード (\$1) を使用して、リソースを指定します。詳細については、[Amazon EC2 API アクションでサポートされるリソースレベルのアクセス許可](#ec2-supported-iam-actions-resources)を参照してください。
+ [**Condition**]: condition はオプションです。ポリシーの発効条件を指定するために使用します。Amazon EC2 の条件を指定する方法については[Amazon EC2 の条件キー](#amazon-ec2-keys)を参照してください。

ポリシー要件の詳細については「*IAM ユーザーガイド*」の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。Amazon EC2 の IAM ポリシーステートメントの例については「[Amazon EC2 API へのアクセスを制御するポリシーの例](ExamplePolicies_EC2.md)」を参照してください。

## Amazon EC2 のアクション
<a name="UsingWithEC2_Actions"></a>

IAM ポリシーステートメントで、IAM をサポートするすべてのサービスから任意の API アクションを指定できます。Amazon EC2 の場合、API アクション `ec2:` の名前に次のプレフィクスを使用します。例: `ec2:RunInstances` および `ec2:CreateImage`。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

```
"Action": ["ec2:action1", "ec2:action2"]
```

ワイルドカードを使用して複数のアクションを指定することもできます。例えば、以下のようにDescribeという単語で始まる名前のすべてのアクションを指定できます。

```
"Action": "ec2:Describe*"
```

**注記**  
現在、すべての Amazon EC2 Describe\$1 API アクションがリソースレベルのアクセス許可をサポートしているわけではありません。Amazon EC2のリソースレベルの許可の詳細については[Amazon EC2 のアイデンティティベースのポリシー](#iam-policies-for-amazon-ec2)を参照してください。

Amazon EC2 API アクションをすべて指定するには\$1 ワイルドカードを以下のように使用します。

```
"Action": "ec2:*"
```

Amazon EC2 アクションのリストを確認するには「*Service Authorization Reference*」の「[Actions defined by Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions)」を参照してください。

## Amazon EC2 API アクションでサポートされるリソースレベルのアクセス許可
<a name="ec2-supported-iam-actions-resources"></a>

*リソースレベルのアクセス許可*とはユーザーがアクションを実行できるリソースを指定できる機能を意味します。Amazon EC2 はリソースレベルのアクセス許可を部分的にサポートします。これは特定の Amazon EC2 アクションでは満たす必要がある条件、またはユーザーが使用できる特定のリソースに基づいて、ユーザーがそれらのアクションをいつ使用できるかを制御できることを意味します。例えば、特定の AMI のみを使用して、特定のタイプのインスタンスだけを起動するアクセス許可をユーザーに付与できます。

IAM ポリシーステートメントでリソースを指定するには Amazon リソースネーム (ARN) を使用します。ARN 値の指定については[Amazon EC2 用の Amazon リソースネーム (ARN)](#EC2_ARN_Format)を参照してください。API アクションが個々の ARN をサポートしていない場合はワイルドカード (\$1) を使用して、アクションによってすべてのリソースが影響を受ける可能性があることを指定する必要があります。

リソースレベルのアクセス許可をサポートする Amazon EC2 API アクション、およびポリシーで使用できる ARN と条件キーがわかる表を見るには[Amazon EC2 のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)を参照してください。

Amazon EC2 API アクションに対して使用する IAM ポリシーで、タグベースのリソースレベルアクセス許可を適用できます。これにより、ユーザーがどのリソースを作成、変更、または使用できるかを制御しやすくなります。詳細については、[Amazon EC2 リソース作成時にタグ付けするアクセス許可の付与](supported-iam-actions-tagging.md)を参照してください。

## Amazon EC2 用の Amazon リソースネーム (ARN)
<a name="EC2_ARN_Format"></a>

各 IAM ポリシーステートメントはARN を使用して指定したリソースに適用されます。

ARN には以下の一般的な構文があります。

```
arn:aws:[service]:[region]:[account-id]:resourceType/resourcePath
```

*service*  
サービス (例: `ec2`)。

*region*  
リソースのリージョン (例: `us-east-1`)。

*account-id*  
ハイフンなしの AWS アカウント ID (例: `123456789012`)。

*resourceType*  
リソースの種類 (例: `instance`)。

*resourcePath*  
リソースを識別するパス。パスにワイルドカードの \$1 が使用できます。

例えば、以下のように ARN を使用して、ステートメント内で特定のインスタンス (`i-1234567890abcdef0`) を指定することができます。

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```

以下のように \$1 ワイルドカードを使用して、特定のアカウントに属するすべてのインスタンスを指定できます。

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```

また、以下のように \$1 ワイルドカードを使用して、特定のアカウントに属するすべての Amazon EC2 リソースを指定することもできます。

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:*"
```

すべてのリソースを指定する場合、または特定の API アクションが ARN をサポートしていない場合は以下のように、`Resource` エレメント内で \$1 ワイルドカードを使用します。

```
"Resource": "*"
```

Amazon EC2 API アクションの多くが複数のリソースと関連します。例えば、`AttachVolume` では Amazon EBS ボリュームをインスタンスにアタッチするため、ユーザーはボリュームおよびインスタンスを使用する許可が必要です。1 つのステートメントで複数のリソースを指定するには次のように ARN をカンマで区切ります。

```
"Resource": ["arn1", "arn2"]
```

Amazon EC2 リソースの ARN のリストについては、[Amazon EC2 で定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies)を参照してください。

## Amazon EC2 の条件キー
<a name="amazon-ec2-keys"></a>

ポリシーステートメントではオプションで有効になるタイミングを制御する条件を指定できます。各条件には 1 つ以上のキーと値のペアが含まれます。条件キーは大文字小文字を区別しません。AWS グローバル条件キーに加え、追加のサービス固有の条件キーも定義されています。

Amazon EC2 のサービス固有の条件キーのリストについては、[Amazon EC2 の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys)を参照してください。Amazon EC2 ではAWS グローバル条件キーも実装されています。詳細については、*IAM ユーザーガイド*の[すべてのリクエストで利用可能な情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infoallreqs)を参照してください。

すべての Amazon EC2 アクションは `aws:RequestedRegion` および `ec2:Region` 条件キーをサポートします。詳細については、[例: 特定のリージョンへのアクセスの制限](ExamplePolicies_EC2.md#iam-example-region)を参照してください。

IAM ポリシーで条件キーを使用するには`Condition` ステートメントを使用します。例えば、次のポリシーはセキュリティグループのインバウンドルールとアウトバウンドルールを追加および削除するアクセス許可をユーザーに付与します。`ec2:Vpc` 条件キーを使用して、これらのアクションを実行できる対象は特定の VPC 内のセキュリティグループに限ることを指定します。

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
  "Statement":[{
    "Effect":"Allow",
    "Action": [
       "ec2:AuthorizeSecurityGroupIngress",
       "ec2:AuthorizeSecurityGroupEgress",
       "ec2:RevokeSecurityGroupIngress",
       "ec2:RevokeSecurityGroupEgress"],
     "Resource": "arn:aws:ec2:us-east-1:111122223333:security-group/*",
      "Condition": {
        "StringEquals": {
          "ec2:Vpc": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
        }
      }
    }
  ]
}
```

------

複数の条件、または単一の条件に複数のキーを指定する場合、論理 AND 演算を使用してそれらを評価します。1 つのキーに複数の値を使用して単一の条件を指定する場合、論理 OR 演算を使用して条件を評価します。アクセス許可が付与されるにはすべての条件を満たしている必要があります。

条件を指定する際にプレースホルダーも使用できます。詳細については、*IAM ユーザーガイド*の[IAM ポリシーエレメント: 変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)を参照してください。

**重要**  
多くの条件キーはリソースに固有のものであり、一部の API アクションでは複数のリソースを使用します。条件キーを使用してポリシーを作成する場合はポリシーステートメントの `Resource` 要素で、条件キーが適用されるリソースを指定します。指定しない場合、そのポリシーはユーザーに対してすべてのアクションの実行を禁止します。これは条件キーが適用されないリソースに対して条件チェックが失敗するためです。リソースを指定しない場合や、ポリシーの `Action` 要素に複数の API アクションを含めている場合は`...IfExists` 条件タイプを使用して、条件キーが適用されないリソースに対して無視されるようにする必要があります。詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)の*..IfExists 条件*を参照してください。

**Topics**
+ [ec2:Attribute 条件キー](#attribute-key)
+ [ec2:ResourceID 条件キー](#imageId-key)
+ [ec2:SourceInstanceARN 条件キー](#SourceInstanceARN)

### ec2:Attribute 条件キー
<a name="attribute-key"></a>

`ec2:Attribute` 条件キーはリソースの属性によってアクセスをフィルタリングする条件に使用できます。

この条件キーはプリミティブデータ型 (文字列や整数など) のプロパティ、または **Value** プロパティのみを含む複雑な **[AttributeValue](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AttributeValue.html)** オブジェクト ([ModifyImageAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyImageAttribute.html) API アクションの **Description** または **ImdsSupport** オブジェクトなど) に使用できます。条件キーは[ModifyImageAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyImageAttribute.html) の **LaunchPermission** オブジェクトなど、複数のプロパティを含む複雑なオブジェクトには使用できません。

例えば、次のポリシーでは**ModifyImageAttribute**API アクションの複雑な **Description** オブジェクトによるアクセスをフィルタリングするために `ec2:Attribute/Description` 条件キーを使用します。条件キーはイメージの説明を `Production` または `Development` のいずれかに変更するリクエストのみを許可します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:ModifyImageAttribute",
      "Resource": "arn:aws:ec2:us-east-1::image/ami-*",
      "Condition": {
        "StringEquals": {
          "ec2:Attribute/Description": [
            "Production",
            "Development"
          ]
        }
      }
    }
  ]
}
```

------

次のポリシー例では**ModifyImageAttribute** API アクションのプリミティブな **Attribute** プロパティによるアクセスをフィルタリングするために `ec2:Attribute` 条件キーを使用します。この条件キーはイメージの説明を変更しようとするすべてのリクエストを拒否します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "ec2:ModifyImageAttribute",
      "Resource": "arn:aws:ec2:us-east-1::image/ami-*",
      "Condition": {
        "StringEquals": {
          "ec2:Attribute": "Description"
        }
      }
    }
  ]
}
```

------

### ec2:ResourceID 条件キー
<a name="imageId-key"></a>

指定された API アクションで次の `ec2:ResourceID` 条件キーを使用する場合、条件キーの値はAPI アクションによって作成される結果のリソースを指定するために使用されます。`ec2:ResourceID` 条件キーを使用して、API リクエストで指定されたソース リソースを指定することはできません。指定された API で次の `ec2:ResourceID` 条件キーのいずれかを使用する場合は常にワイルドカード (`*`) を指定する必要があります。別の値を指定した場合、条件はランタイム中に常に `*` に解決されます。例えば、**CopyImage** API で `ec2:ImageId` 条件キーを使用するには次のように条件キーを指定する必要があります。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:CopyImage",
      "Resource": "arn:aws:ec2:us-east-1::image/ami-*",
      "Condition": {
        "StringEquals": {
          "ec2:ImageID": "*"
        }
      }
    }
  ]
}
```

------

これらの API アクションではこれらの条件キーを使用しないことをお勧めします。
+ `ec2:DhcpOptionsID` – `CreateDhcpOptions`
+ `ec2:ImageID` – `CopyImage`、`CreateImage`、`ImportImage`、`RegisterImage`
+ `ec2:InstanceID` – `RunInstances` および `ImportInstance`
+ `ec2:InternetGatewayID` – `CreateInternetGateway`
+ `ec2:NetworkAclID` – `CreateNetworkAcl`
+ `ec2:NetworkInterfaceID` – `CreateNetworkInterface`
+ `ec2:PlacementGroupName` – `CreatePlacementGroup`
+ `ec2:RouteTableID` – `CreateRouteTable`
+ `ec2:SecurityGroupID` – `CreateSecurityGroup`
+ `ec2:SnapshotID` – `CopySnapshot`、`CreateSnapshot`、`CreateSnapshots`、`ImportSnapshots`
+ `ec2:SubnetID` – `CreateSubnet`
+ `ec2:VolumeID` – `CreateVolume` および `ImportVolume`
+ `ec2:VpcID` – `CreateVpc`
+ `ec2:VpcPeeringConnectionID` – `CreateVpcPeeringConnection`

特定のリソース ID に基づいてアクセスをフィルタリングするには次のように `Resource` ポリシー要素を使用することをお勧めします。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:CopyImage",
      "Resource": "arn:aws:ec2:us-east-1::image/ami-01234567890abcdef"
    }
  ]
}
```

------

### ec2:SourceInstanceARN 条件キー
<a name="SourceInstanceARN"></a>

`ec2:SourceInstanceARN` を使用して、リクエスト元のインスタンスの ARN を指定します。これは [AWS グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)であり、Amazon EC2 以外のサービスで使用できるということです。ポリシーの例については「[例: 特定のインスタンスが他の AWS サービスでリソースを表示できるようにする](ExamplePolicies_EC2.md#iam-example-source-instance)」を参照してください。

## 属性ベースのアクセスを使用するアクセスの制御
<a name="control-access-with-tags"></a>

EC2 リソースを使用するための許可をユーザーに付与する IAM ポリシーを作成する場合、ポリシーの `Condition` 要素にタグ情報を含めることで、タグに基づいてアクセスをコントロールできます。これは属性ベースのアクセス制御 (ABAC) と呼ばれます。ABAC を使用すると、ユーザーが変更、使用、または削除できるリソースをより適切に制御できます。詳細については、[AWS の ABAC とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)を参照してください。

例えば、インスタンスを終了することをユーザーに許可するが、インスタンスに `environment=production` タグが付いている場合はアクションを拒否するポリシーを作成できます。これを行うには`aws:ResourceTag` 条件キーを使用し、リソースにアタッチされているタグに基づいてリソースへのアクセスを許可または拒否します。

```
"StringEquals": { "aws:ResourceTag/environment": "production" }
```

Amazon EC2 API アクションが `aws:ResourceTag` 条件キーを使用したアクセスの制御をサポートしているかどうかについては[Amazon EC2 のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)を参照してください。`Describe` アクションはリソースレベルのアクセス権限をサポートしないため、条件のない別のステートメントでそれらのアクセス権限を指定する必要があることに注意してください。

IAM ポリシーの例は[Amazon EC2 API へのアクセスを制御するポリシーの例](ExamplePolicies_EC2.md)を参照してください。

タグに基づいてリソースへのユーザーのアクセスを許可または拒否する場合はユーザーが同じリソースに対してそれらのタグを追加または削除することを明示的に拒否することを検討する必要があります。そうしないと、ユーザーはそのリソースのタグを変更することで、制限を回避してリソースにアクセスできてしまいます。

## ユーザー、グループ、およびロールに許可を付与する
<a name="granting-iam-permissions"></a>

アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については「*IAM ユーザーガイド*」の「[ユーザー (コンソール) へのアクセス権限の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。

## ユーザーが必要なアクセス許可を持っているかどうかの確認
<a name="check-required-permissions"></a>

IAM ポリシーを作成したら、ポリシーを本稼働環境に置く前に、そのポリシーがユーザーに特定の API アクションおよび必要なリソースを使用するアクセス許可を付与しているかどうかを確認することをお勧めします。

まずテスト目的のユーザーを作成し、作成した IAM ポリシーをテストユーザーにアタッチします。次に、テストユーザーとしてリクエストを作成します。

テスト中の Amazon EC2 アクションがリソースを作成または変更する場合、`DryRun` パラメータ を使用してリクエストを作成する (または AWS CLI オプションで `--dry-run` コマンドを実行する) 必要があります。この場合、発信者は認可チェックを行いますが、操作は完了しません。例えば、実際に終了させることなく、ユーザーが特定のインスタンスを終了できるかどうかを確認できます。テストユーザーに必要なアクセス許可がある場合、リクエストで `DryRunOperation` が返されます。必要なアクセス許可がない場合は `UnauthorizedOperation` が返されます。

ポリシーが想定したアクセス許可をユーザーに付与していない場合、または過度に許可されている場合、必要に応じてポリシーを調整し、必要な結果を得るまで再テストできます。

**重要**  
ポリシーの変更が反映され、有効になるには数分間かかります。したがって、ポリシーの更新をテストするには 5 分かかると見ておいてください。

認可チェックが失敗した場合、リクエストでは診断情報でエンコードされたメッセージが返されます。`DecodeAuthorizationMessage` アクションを使用してメッセージをデコードできます。詳細については、*AWS Security Token Service API * リファレンス の [DecodeAuthorizationMessage、](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html) および コマンドリファレンスの[decode-authorization-message](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html).を参照してください。