# AWS リソースの アクセス管理 AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのウェブサービスです。AWS で[プリンシパル](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)がリクエストを行うと、AWS 強制コードは、プリンシパルが認証 (サインイン) され、許可されている (アクセス許可を持っている) かどうかをチェックします。AWS でアクセスを管理するには、ポリシーを作成して IAM ID や AWS リソースにアタッチします。ポリシーは、アイデンティティやリソースにアタッチして、そのアクセス許可を定義する、AWS の JSON ポリシードキュメントです。ポリシーのタイプと用途の詳細については、「[AWS Identity and Access Management でのポリシーとアクセス許可](access_policies.md)」を参照してください。 残りの認証と認可の詳細については、「[IAM の仕組み](intro-structure.md)」を参照してください 。 ![AccessManagement_Diagram](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/access-diagram_800.png) 認可の間、AWS エンフォースメントコードでは、[リクエストコンテキスト](intro-structure.md#intro-structure-request)からの値に基づいて、一致するポリシーをチェックし、リクエストの許可または拒否を決定します。 AWS は、リクエストのコンテキストに該当する各ポリシーをチェックします。1 つのポリシーでリクエストが拒否されると、そのリクエストは AWS で全面的に拒否され、ポリシーの評価が停止します。このプロセスは*明示的な拒否*と呼ばれています。リクエストは*デフォルトで拒否*されるため、IAM では、リクエストのすべての部分が該当するポリシーによって許可された場合に限り、リクエストを承認します。単一アカウント内のリクエストの[評価ロジック](reference_policies_evaluation-logic.md)は、以下のルールに基づきます。 + デフォルトでは、すべてのリクエストが明示的に拒否されます。(または、AWS アカウントのルートユーザー には、デフォルトでフルアクセス権が付与されています)。 + アイデンティティベースのポリシーまたはリソースベースのポリシーに明示的な許可が含まれている場合、このデフォルト設定は上書きされます。 + アクセス許可の境界、AWS Organizations SCP、またはセッションポリシーがある場合、この許可は明示的な拒否で上書きされる場合があります。 + ポリシー内の明示的な拒否は、すべての許可に優先します。 リクエストが認証され承認された後で、AWS はリクエストを承認します。別のアカウントでリクエストする必要がある場合は、別のアカウントポリシーで、リソースへのアクセスを許可する必要があります。さらに、リクエストに使用する IAM エンティティに、そのリクエストを許可するアイデンティティベースのポリシーが必要です。 ## アクセス管理リソース 権限に関する詳細およびポリシーの作成に関する詳細については、以下のリソースを参照してください。 AWS セキュリティブログの以下のエントリは、Amazon S3 バケットおよびオブジェクトへのアクセスに関するポリシーを記述するための一般的な方法について説明しています。 + [IAM ポリシーの記述: Amazon S3 バケットへのアクセス権を付与する方法](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/) + [ IAM ポリシーの記述: Amazon S3 バケット内のユーザー固有のフォルダへのアクセスを許可する方法](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/) + [IAM ポリシー、バケットポリシー、および ACL\! Oh, My\! (S3 リソースへのアクセス制御)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/) + [RDS のリソース レベルのアクセス許可入門](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions) + [EC2 リソースレベルアクセス許可とは](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)