Network Synthetic Monitor 用の ID およびアクセス管理

AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを管理者が安全に制御するために役立つ AWS のサービスです。IAM の管理者は、誰を認証 (サインインを許可) し、誰に Network Synthetic Monitor リソースの使用を承認する (アクセス許可を持たせる) かを制御します。IAM は、AWSのサービスで追加料金は発生しません。IAM の機能を使用して、他のユーザー、サービス、およびアプリケーションが完全にまたは制限付きでお客様のAWSリソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。

デフォルトでは、IAM ユーザーには、AWS リソースを作成、表示、変更するためのアクセス許可はありません。IAM ユーザーがグローバルネットワークなどのリソースにアクセスし、タスクを実行できるようにするには、次の操作を行う必要があります。

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。

条件キー

Condition 要素 (または条件ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや以下などの条件演算子を使用する条件表現を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「IAM JSON ポリシー要素: 条件演算子」を参照してください。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、AWS では AND 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では OR 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。

タグを Network Synthetic Monitor リソースにアタッチすることも、Cloud WAN へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、aws:ResourceTag/key-name、aws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「IAM JSON ポリシー要素: 条件演算子」を参照してください。

すべての AWS グローバル条件キーを確認するには、「AWS Identity and Access Management ユーザーガイド」の「AWS グローバル条件コンテキストキー」を参照してください。

コアネットワークリソースのタグ付け

サービスにリンクされたロールを削除する

Network Synthetic Monitor を使用する必要がなくなった場合は、AWSServiceRoleForNetworkMonitor ロールを削除することをお勧めします。

これらのサービスにリンクされたロールは、モニターを削除した場合にのみ削除できます。詳細については、「モニターの削除」を参照してください。

サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

AWSServiceRoleForNetworkMonitor を削除すると、新規モニター作成時に、Network Synthetic Monitor によって再度このロールが作成されます。