翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# が IAM と AWS Billing Conductor 連携する方法
Billing Conductor へのアクセスを管理するために IAM を使用する前に、 Billing Conductor で使用できる IAM 機能を理解しておく必要があります。Billing Conductor およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Billing Conductor のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Billing Conductor のリソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [アクセスコントロールリスト (ACL)](#security_iam_service-with-iam-acls)
+ [Billing Conductor タグに基づく承認](#security_iam_service-with-iam-tags)
+ [Billing Conductor の IAM ロール](#security_iam_service-with-iam-roles)
## Billing Conductor のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Billing Conductor は、特定のアクション、リソース、条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Billing Conductor のポリシーアクションは、アクション `Billing Conductor:` の前に次のプレフィックスを使用します。たとえば、 Amazon EC2 `RunInstances` API オペレーションで Amazon EC2 インスタンスを実行するためのアクセス許可をユーザーに付与するには、ポリシーに `ec2:RunInstances` アクションを含めます。ポリシーステートメントには、`Action` または `NotAction` エレメントを含める必要があります。Billing Conductor は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"ec2:action1",
"ec2:action2"
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "ec2:Describe*"
```
Billing Conductor アクションのリストを確認するには、*IAM ユーザーガイド*の [AWS Billing Conductor で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Amazon EC2 インスタンスのリソースには次のような ARN があります:
```
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `i-1234567890abcdef0` インスタンスを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```
リソースを作成するためのアクションなど、一部の Billing Conductor は特定のリソースでは実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
Amazon EC2 API アクションの多くが複数のリソースと関連します。例えば、`AttachVolume` では Amazon EBS ボリュームをインスタンスにアタッチするため、IAM ユーザーはボリュームおよびインスタンスを使用する権限が必要です。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
Billing Conductor リソースタイプとその ARNs、*IAM ユーザーガイド*の [AWS Billing Conductor で定義されるリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-resources-for-iam-policies)を参照してください。各リソースの ARN を指定できるアクションについては、[AWS 「Billing Conductor で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Billing Conductor は独自の条件キーのセットを定義し、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
すべての Amazon EC2 アクションは `aws:RequestedRegion` および `ec2:Region` 条件キーをサポートします。詳細については、「[例: 特定のリージョンへのアクセスの制限](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)」を参照してください。
Billing Conductor の条件キーのリストを確認するには、*IAM ユーザーガイド*[の AWS Billing Conductor の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-policy-keys)を参照してください。条件キーを使用できるアクションとリソースについては、[AWS 「Billing Conductor で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)」を参照してください。
### 例
Billing Conductor のアイデンティティベースのポリシー例を確認するには、「[AWS Billing Conductor アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Billing Conductor のリソースベースのポリシー
リソースベースのポリシーとは、指定されたプリンシパルが Billing Conductor リソースに対して、実行できるアクションとその条件を指定する JSON ポリシードキュメントです。Amazon S3 は、Amazon S3 *バケット*に関するリソースベースのアクセス許可ポリシーをサポートします。リソースベースのポリシーでは、リソースごとに他の アカウントに使用許可を付与することができます。リソースベースのポリシーを使用して、 AWS サービスが Amazon S3 *バケット*にアクセスすることを許可することもできます。
クロスアカウントアクセスを有効にするには、アカウント全体、または別のアカウントの IAM エンティティを[リソースベースのポリシーのプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)として指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合は、プリンシパルエンティティにリソースへのアクセス許可も付与する必要があります。アクセス許可は、アイデンティティベースのポリシーをエンティティにアタッチすることで付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、ID ベースのポリシーをさらに付与する必要はありません。詳細については、IAM ユーザーガイドの「[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)」を参照してください。
Amazon S3 サービスは、**バケット*ポリシー*と呼ばれるリソースベースのポリシーの 1 つのタイプのみサポートし、それが*バケット*にアタッチされます。このポリシーは、* Billing Conductor* に対してアクションを実行できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーションユーザー) を定義します。
### 例
Billing Conductor のリソースベースのポリシー例を確認するには、「[AWS Billing Conductor リソースベースのポリシーの例](security_iam_resource-based-policy-examples.md)」を参照してください。
## アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、リソースにアタッチできる被付与者のリストです。これらは、アタッチされているリソースにアクセスするための権限をアカウントに付与します。Amazon S3 *バケット*リソースに ACL をアタッチできます。
Amazon S3 アクセスコントロールリスト (ACL) を使用すると、*バケット*リソースへのアクセスを管理できます。各*バケット*には、サブリソースとして ACL がアタッチされています。アクセス権が付与される AWS アカウント、IAM ユーザーまたはユーザーのグループ、または IAM ロールと、アクセス権のタイプを定義します。リソースのリクエストを受信すると、 は対応する ACL AWS をチェックして、リクエスタに必要なアクセス許可があることを確認します。
*バケット*リソースを作成すると、Amazon S3 は、リソースに対する完全なコントロールをリソース所有者に付与するデフォルト ACL を作成します。次の*バケット*の ACL 例では、John Doe が*バケット*の所有者として表示され、その*バケット*に対する完全な制御が許可されています。1 つの ACL には最大 100 個の許可を指定することができます。
```
c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6
john-doe
c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6
john-doe
FULL_CONTROL
```
ACL の ID フィールドは、 AWS アカウントの正規ユーザー ID です。所有しているアカウントでこの ID を表示する方法については、[AWS 「アカウント正規ユーザー ID の検索](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId)」を参照してください。
## Billing Conductor タグに基づく承認
Billing Conductor リソースにタグをアタッチしたり、 Billing Conductor へのリクエストでタグを渡したりすることができます。タグに基づいてアクセスを管理するには、`Billing Conductor:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
## Billing Conductor の IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Billing Conductor での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Billing Conductor では、一時的な認証情報の使用がサポートされています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Billing Conductor では、サービスロールがサポートされています。
### Billing Conductor での IAM ロールの選択
Billing Conductor でリソースを作成する場合、 Billing Conductor ユーザーに代わって Amazon EC2 にアクセスすることを許可するロールを選択します。サービスロールまたはサービスにリンクされたロールを以前に作成している場合、 Billing Conductor は選択できるロールのリストを表示します。Amazon EC2 インスタンスの起動と停止のためのアクセスを、許可するロールを選択することが重要です。