# Amazon API Gateway と IAM の連携方法
IAM を使用して API Gateway へのアクセスを管理する前に、API Gateway で使用できる IAM 機能について理解しておく必要があります。API Gateway およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、*IAM ユーザーガイド*の「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [API Gateway のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [API Gateway リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [API Gateway タグに基づく認可](#security_iam_service-with-iam-tags)
+ [API Gateway IAM ロール](#security_iam_service-with-iam-roles)
## API Gateway のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。API Gateway は、特定のアクション、リソース、および条件キーをサポートしています。API Gateway 固有のアクション、リソース、条件キーの詳細については、「[Amazon API Gateway Management のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagement.html)」および「[Amazon API Gateway Management V2 のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagementv2.html)」を参照してください。JSON ポリシーで使用するすべての要素については、*IAM ユーザーガイド*の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
次の例は、ユーザーがプライベート REST API だけを作成または更新できるようにする ID ベースのポリシーを示しています。その他の例については、「[Amazon API Gateway のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ScopeToPrivateApis",
"Effect": "Allow",
"Action": [
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis",
"arn:aws:apigateway:us-east-1::/restapis/??????????"
],
"Condition": {
"ForAllValues:StringEqualsIfExists": {
"apigateway:Request/EndpointType": "PRIVATE",
"apigateway:Resource/EndpointType": "PRIVATE"
}
}
},
{
"Sid": "AllowResourcePolicyUpdates",
"Effect": "Allow",
"Action": [
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis/*"
]
}
]
}
```
------
### アクション
JSON ポリシーの `Action` 要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。
API Gateway のポリシーアクションでは、アクションの前にプレフィックス `apigateway:` を使用します。ポリシーステートメントには、`Action` または `NotAction` エレメントを含める必要があります。API Gateway は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
API が管理する `Action` 式の形式は `apigateway:action` であり、ここで *action* は、**GET**、**POST**、**PUT**、**DELETE**、**PATCH** (リソースの更新用)、または **\$1** (これまでのアクションすべて) の API Gateway アクションのいずれかになります。
`Action` 式のいくつかの例は以下の通りです。
+ **apigateway:\$1**すべての API Gateway アクションについては 。
+ **apigateway:GET**API Gateway の GET アクションのみについては 。
単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。
```
"Action": [
"apigateway:action1",
"apigateway:action2"
```
特定の API Gateway オペレーションに使用する HTTP 動詞については、「[ Amazon API Gateway Version 1 API Reference](https://docs.aws.amazon.com/apigateway/api-reference/) (REST API ) 」および「[ Amazon API Gateway Version 2 API Reference](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/api-reference.html) (WebSocket API および HTTP API) 」を参照してください。
詳細については、「[Amazon API Gateway のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
### リソース
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
API Gateway リソースには、次の ARN 形式があります。
```
arn:aws:apigateway:region::resource-path-specifier
```
たとえば、ステートメントの認証者など、ID * `api-id` * とそのサブリソースで REST API を指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/api-id/*"
```
特定のアカウントに属するすべての REST API やサブリソースを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/*"
```
API Gateway リソースタイプとそれらの ARN の一覧については、「[API Gateway Amazon リソースネーム (ARN) リファレンス](arn-format-reference.md)」を参照してください。
### 条件キー
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
API Gateway は独自の条件キーを定義し、一部のグローバル条件キーの使用もサポートしています。API Gateway の条件キーの一覧については、*IAM ユーザーガイド*の「[Amazon API Gateway の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#manageamazonapigateway-policy-keys)」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「[Amazon API Gateway Management V2 のアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#amazonapigateway-actions-as-permissions)」を参照してください。
属性ベースのアクセスコントロールなど、タグ付けの詳細については、[API Gateway リソースのタグ付け](apigateway-tagging.md) を参照してください。
### 例
API Gateway アイデンティティベースのポリシーの例については、「[Amazon API Gateway のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## API Gateway リソースベースのポリシー
リソースベースのポリシーとは、 API Gateway リソース上で指定するプリンシパルとしてのどのアクションをどの条件で実行できるかを指定する JSON ポリシードキュメントです。API Gateway は、REST API のリソースベースのアクセス許可ポリシーをサポートします。リソースポリシーを使用して、REST API を呼び出すことができるユーザーを管理します。詳細については、「[API Gateway リソースポリシーを使用して REST API へのアクセスを制御する](apigateway-resource-policies.md)」を参照してください。
### 例
API Gateway リソースベースのポリシーの例については、「[API Gateway リソースポリシーの例](apigateway-resource-policies-examples.md)」を参照してください。
## API Gateway タグに基づく認可
API Gateway リソースにタグをアタッチしたり、リクエスト内のタグを API Gateway に渡したりできます。タグに基づいてアクセスを制御するには、`apigateway:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。API Gateway リソースのタグ付けの詳細については、「[タグを使用して API Gateway REST API リソースへのアクセスをコントロールする](apigateway-tagging-iam-policy.md)」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例については、「[タグを使用して API Gateway REST API リソースへのアクセスをコントロールする](apigateway-tagging-iam-policy.md)」を参照してください。
## API Gateway IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は AWS アカウント内のエンティティで、特定の許可を持っています。
### API Gateway での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
API Gateway では、一時認証情報の使用をサポートしています。
### サービスにリンクされたロール
[サービスリンクロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)は、AWS サービスが他のサービスのリソースにアクセスしてお客様の代わりにアクションを完了することを許可します。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
API Gateway は、サービスリンクロールをサポートします。API Gateway サービスにリンクされたロールの作成または管理の詳細については、「[API Gateway でのサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
### サービスロール
サービスは、ユーザーに代わって[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることができます。このサービスロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを完了できます。サービスロールロールは、IAM アカウントに表示され、アカウントによって所有されます。そのため、管理者はこのロールのアクセス権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
API Gateway は、サービスロールをサポートします。