翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# が IAM と AWS App Mesh 連携する方法
<a name="security_iam_service-with-iam"></a>

**重要**  
サポート終了通知: 2026 年 9 月 30 日、 AWS はサポートを終了します AWS App Mesh。2026 年 9 月 30 日以降、 AWS App Mesh コンソールまたは AWS App Mesh リソースにアクセスできなくなります。詳細については、このブログ記事[「 から Amazon ECS Service Connect AWS App Mesh への移行](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)」を参照してください。

App Mesh へのアクセスを管理するために IAM を使用する前に、App Mesh でどの IAM 機能が使用できるかを理解しておく必要があります。App Mesh およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**Topics**
+ [App Mesh アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [App Mesh でのリソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [App Mesh タグに基づく認可](#security_iam_service-with-iam-tags)
+ [App Mesh IAM ロール](#security_iam_service-with-iam-roles)

## App Mesh アイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。App Mesh では、特定のアクション、リソース、および条件キーがサポートされています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### アクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

App Mesh のポリシーアクションには、アクションの前にプレフィックス `appmesh:` を使用します。例えば、`appmesh:ListMeshes` API 操作を使用してアカウント内のメッシュを一覧表示する許可を誰かに付与するには、その `appmesh:ListMeshes` アクションをポリシーに含めます。ポリシーステートメントには、`Action` または `NotAction` の要素を含める必要があります。

単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。

```
"Action": [
      "appmesh:ListMeshes",
      "appmesh:ListVirtualNodes"
]
```

ワイルドカード \$1を使用して複数のアクションを指定することができます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

```
"Action": "appmesh:Describe*"
```



App Mesh アクションのリストを表示するには、「*IAM ユーザーガイド*」の「[AWS App Meshによって定義されたアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions)」を参照してください。

### リソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。

```
"Resource": "*"
```



App Mesh `mesh` リソースは、次の ARN を持ちます。

```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```

ARN の形式の詳細については、[「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。

例えば、ステートメントの *Region-code* リージョンに *apps* という名前のメッシュを指定するには、次の ARN を使用します。

```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード \$1を使用します。

```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```

リソースの作成など、一部の App Mesh アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。

```
"Resource": "*"
```

App Mesh の API アクションの多くが複数のリソースと関連します。例えば、`CreateRoute` は、仮想ノードターゲットを使用してルートを作成します。この場合、IAM ユーザーはルートと仮想ノードを使用するアクセス許可を持っている必要があります。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

```
"Resource": [
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```

App Mesh リソースタイプとその ARN のリストを表示するには、「*IAM ユーザーガイド*」の「[AWS App Meshで定義されるリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、[AWS App Meshで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions)を参照してください。

### 条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

App Mesh では、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、「*IAM ユーザーガイド*」の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。App Mesh でサポートされるグローバル条件キーのリストを確認するには、「*IAM ユーザーガイド*」の 「[AWS App Meshの条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys)」を参照してください。条件キーで使用できるアクションとリソースについては、[「 で定義されるアクション AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions)」を参照してください。

### 例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



App Mesh アイデンティティベースのポリシーの例を表示するには、「[AWS App Mesh アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。

## App Mesh でのリソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

App Mesh はリソースベースのポリシーをサポートしていません。ただし、 AWS Resource Access Manager (AWS RAM) サービスを使用して AWS サービス間でメッシュを共有する場合、リソースベースのポリシーが AWS RAM サービスによってメッシュに適用されます。詳細については、「[メッシュに対するアクセス許可の付与](sharing.md#sharing-permissions-resource)」を参照してください。

## App Mesh タグに基づく認可
<a name="security_iam_service-with-iam-tags"></a>

タグをApp Mesh リソースにアタッチすることも、App Mesh へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、`appmesh:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件の要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。App Mesh リソースのタグ付けの詳細については、[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースポリシーの例を表示するには、「[制限付きタグを使用した App Mesh メッシュの作成](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags)」を参照してください。

## App Mesh IAM ロール
<a name="security_iam_service-with-iam-roles"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

### App Mesh での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。

App Mesh では、一時認証情報の使用はサポートされています。

### サービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者はサービスリンクロールのアクセス許可を表示できますが、編集することはできません。

App Mesh ではサービスリンクロールはサポートされていません。App Mesh サービスリンクロールの作成または管理の詳細については、「[App Mesh のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。

### サービス役割
<a name="security_iam_service-with-iam-roles-service"></a>

この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

App Mesh ではサービスロールはサポートされていません。