AWS Application Discovery Service は、新規のお客様に公開されなくなりました。または、同様の機能 AWS Transform を提供する を使用します。詳細については、[AWS 「Application Discovery Service の可用性の変更](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Application Discovery Service が IAM と連携する方法
<a name="security_iam_service-with-iam"></a>

IAM を使用して Application Discovery Service へのアクセスを管理する前に、Application Discovery Service で使用できる IAM 機能を理解しておく必要があります。Application Discovery Service およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**Topics**
+ [Application Discovery Service のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Application Discovery Service リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Application Discovery Service タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Application Discovery Service IAM ロール](#security_iam_service-with-iam-roles)

## Application Discovery Service のアイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Application Discovery Service は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### アクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Application Discovery Service のポリシーアクションは、アクションの前にプレフィックス `discovery:` を使用します。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Application Discovery Service は、このサービスで実行できるタスクを記述する、独自のアクション一式を定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

```
"Action": [
      "discovery:action1",
      "discovery:action2"
```

ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "discovery:Describe*"
```



Application Discovery Service アクションのリストを確認するには、*IAM ユーザーガイド*の「[AWS Application Discovery Serviceで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_applicationdiscovery.html#awskeymanagementservice-actions-as-permissions)」を参照してください。

### リソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Application Discovery Service は、ポリシー内でのリソース ARN の指定をサポートしません。アクセスを分離するには、別の を作成して使用します AWS アカウント。

### 条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Application Discovery Service はサービス固有の条件キーを提供しませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

### 例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Application Discovery Service のアイデンティティベースポリシーの例を確認するには、「[AWS Application Discovery Service アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。

## Application Discovery Service リソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Application Discovery Service は、リソースベースポリシーをサポートしません。

## Application Discovery Service タグに基づく認可
<a name="security_iam_service-with-iam-tags"></a>

Application Discovery Service は、リソースのタグ付け、またはタグに基づいたアクセスの制御をサポートしません。

## Application Discovery Service IAM ロール
<a name="security_iam_service-with-iam-roles"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

### Application Discovery Service での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Application Discovery Service は一時的な認証情報の使用をサポートしません。

### サービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Application Discovery Service はサービスリンクロールをサポートします。Application Discovery Service のサービスリンクロールの作成または管理の詳細については、「[Application Discovery Service のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

### サービス役割
<a name="security_iam_service-with-iam-roles-service"></a>

この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Application Discovery Service はサービスロールをサポートします。