翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS AppSync のアイデンティティベースのポリシー
<a name="security_iam_id-based-policy-examples"></a>

デフォルトでは、ユーザーとロールには、 AWS AppSync リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。

これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。

各リソースタイプの ARN の形式など、 AWS AppSync で定義されるアクションとリソースタイプの詳細については、*「サービス認可リファレンス*」の[AWS AppSync のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)」を参照してください。 ARNs 

IAM アイデンティティベースのポリシーを作成および設定するためのベストプラクティスについては、「[IAM ポリシーのベストプラクティス](best-practices.md#security_iam_service-with-iam-policy-best-practices)」を参照してください。

 AWS AppSync の IAM アイデンティティベースのポリシーのリストについては、「」を参照してください[AWS AWS AppSync の マネージドポリシー](security_iam_policy_list.md)。

**Topics**
+ [AWS AppSync コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [1 つの Amazon S3 バケットへのアクセス](#security_iam_id-based-policy-examples-access-one-bucket)
+ [タグに基づく AWS AppSync {{ウィジェット}}の表示](#security_iam_id-based-policy-examples-view-widget-tags)
+ [AWS AWS AppSync の マネージドポリシー](security_iam_policy_list.md)

## AWS AppSync コンソールの使用
<a name="security_iam_id-based-policy-examples-console"></a>

 AWS AppSync コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の AWS AppSync リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

 AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

IAM ユーザーとロールが引き続き AWS AppSync コンソールを使用できるようにするには、エンティティに AWS AppSync `ConsoleAccess`または `ReadOnly` AWS 管理ポリシーもアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。

## 自分の権限の表示をユーザーに許可する
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## 1 つの Amazon S3 バケットへのアクセス
<a name="security_iam_id-based-policy-examples-access-one-bucket"></a>

この例では、 AWS アカウントの IAM ユーザーに Amazon S3 バケットの 1 つへのアクセス権を付与します`examplebucket`。また、ユーザーがオブジェクトを追加、更新、および削除できるようにします。

このポリシーでは、ユーザーに `s3:PutObject`、`s3:GetObject`、`s3:DeleteObject` のアクセス許可を付与するだけでなく、`s3:ListAllMyBuckets`、`s3:GetBucketLocation`、および `s3:ListBucket` のアクセス許可も付与します。これらが、コンソールで必要とされる追加のアクセス許可です。またコンソール内のオブジェクトのコピー、カット、貼り付けを行うためには、`s3:PutObjectAcl` および `s3:GetObjectAcl` アクションが必要となります。コンソールを使用して、ユーザーにアクセス許可を付与し、テストする例の解説については、「[チュートリアル例: ユーザーポリシーを使用したバケットへのアクセスのコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"ListBucketsInConsole",
         "Effect":"Allow",
         "Action":[
            "s3:ListAllMyBuckets"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Sid":"ViewSpecificBucketInfo",
         "Effect":"Allow",
         "Action":[
            "s3:ListBucket",
            "s3:GetBucketLocation"
         ],
         "Resource":"arn:aws:s3:::examplebucket"
      },
      {
         "Sid":"ManageBucketContents",
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetObject",
            "s3:GetObjectAcl",
            "s3:DeleteObject"
         ],
         "Resource":"arn:aws:s3:::examplebucket/*"
      }
   ]
}
```

------

## タグに基づく AWS AppSync {{ウィジェット}}の表示
<a name="security_iam_id-based-policy-examples-view-widget-tags"></a>

アイデンティティベースのポリシーの条件を使用して、タグに基づいて AWS AppSync リソースへのアクセスを制御できます。この例では、{{ウィジェット}}を表示できるポリシーを作成する方法を示します。ただし、アクセス許可は、{{widget}} タグ `Owner` にそのユーザーのユーザー名の値がある場合にのみ付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。

このポリシーをアカウントの IAM ユーザーにアタッチできます。という名前のユーザーが AWS AppSync {{ウィジェット}}を表示`richard-roe`しようとする場合、{{ウィジェット}}には `Owner=richard-roe`または のタグを付ける必要があります`owner=richard-roe`。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字が区別されないため、条件タグキー `Owner` は `Owner` と `owner` の両方に一致します。詳細については、*IAM ユーザーガイド*の[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)を参照してください。