翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Deadline Cloud のアイデンティティベースのポリシーの例
デフォルトでは、ユーザーとロールには Deadline Cloud リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
各リソースタイプの ARNs[AWS 「Deadline Cloud のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_deadline.html)」を参照してください。 **
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Deadline Cloud コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [コンソールにアクセスするためのポリシー](#security_iam_id-based-policy-console-access)
+ [キューにジョブを送信するポリシー](#security_iam_id-based-policy-examples-submit-jobs)
+ [ライセンスエンドポイントの作成を許可するポリシー](#security_iam-id-based-policy-examples-create-endpoint)
+ [特定のファームキューのモニタリングを許可するポリシー](#security_iam-id-based-policy-examples-monitor-queue)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内の Deadline Cloud リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、*最小特権*アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Deadline Cloud コンソールの使用
AWS Deadline Cloud コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の Deadline Cloud リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが引き続き Deadline Cloud コンソールを使用できるようにするには、エンティティに Deadline Cloud `{{ConsoleAccess}}`または `{{ReadOnly}}` AWS マネージドポリシーもアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## コンソールにアクセスするためのポリシー
Deadline Cloud コンソールのすべての機能へのアクセスを許可するには、フルアクセスを付与するユーザーまたはロールにこの ID ポリシーをアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "EC2InstanceTypeSelection",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:GetInstanceTypesFromInstanceRequirements",
"pricing:GetProducts"
],
"Resource": ["*"]
},
{
"Sid": "VPCResourceSelection",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": ["*"]
},
{
"Sid": "ViewVpcLatticeResources",
"Effect": "Allow",
"Action": [
"vpc-lattice:ListResourceConfigurations",
"vpc-lattice:GetResourceConfiguration",
"vpc-lattice:GetResourceGateway"
],
"Resource": ["*"]
},
{
"Sid": "ManageVpcEndpointsViaDeadline",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints",
"ec2:CreateTags"
],
"Resource": ["*"],
"Condition": {
"StringEquals": { "aws:CalledViaFirst": "deadline.amazonaws.com" }
}
},
{
"Sid": "ChooseJobAttachmentsBucket",
"Effect": "Allow",
"Action": ["s3:GetBucketLocation", "s3:ListAllMyBuckets"],
"Resource": "*"
},
{
"Sid": "CreateDeadlineCloudLogGroups",
"Effect": "Allow",
"Action": ["logs:CreateLogGroup"],
"Resource": "arn:aws:logs:*:*:log-group:/aws/deadline/*",
"Condition": {
"StringLike": { "aws:CalledViaFirst": "deadline.amazonaws.com" }
}
},
{
"Sid": "ValidateDependencies",
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": "*",
"Condition": {
"StringLike": { "aws:CalledViaFirst": "deadline.amazonaws.com" }
}
},
{
"Sid": "RoleSelection",
"Effect": "Allow",
"Action": ["iam:GetRole", "iam:ListRoles", "iam:ListAttachedRolePolicies"],
"Resource": "*"
},
{
"Sid": "PassRoleToDeadlineCloud",
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Condition": {
"StringLike": { "iam:PassedToService": "deadline.amazonaws.com" }
},
"Resource": "*"
},
{
"Sid": "KMSKeySelection",
"Effect": "Allow",
"Action": ["kms:ListKeys", "kms:ListAliases"],
"Resource": "*"
},
{
"Sid": "IdentityStoreReadOnly",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroups",
"identitystore:ListUsers",
"identitystore:IsMemberInGroups",
"identitystore:ListGroupMemberships",
"identitystore:ListGroupMembershipsForMember",
"identitystore:GetGroupMembershipId"
],
"Resource": "*"
},
{
"Sid": "OrganizationAndIdentityCenterIdentification",
"Effect": "Allow",
"Action": [
"sso:ListDirectoryAssociations",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"sso:DescribeRegisteredRegions",
"sso:GetManagedApplicationInstance",
"sso:GetSharedSsoConfiguration",
"sso:ListInstances",
"sso:GetApplicationAssignmentConfiguration",
"sso:GetSSOStatus",
"sso:ListRegions",
"sso:DescribeRegion"
],
"Resource": "*"
},
{
"Sid": "ManagedDeadlineCloudIDCApplication",
"Effect": "Allow",
"Action": [
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:UpdateApplication"
],
"Resource": "*",
"Condition": {
"StringLike": { "aws:CalledViaFirst": "deadline.amazonaws.com" }
}
},
{
"Sid": "ChooseSecret",
"Effect": "Allow",
"Action": ["secretsmanager:ListSecrets"],
"Resource": "*"
},
{
"Sid": "DeadlineMembershipActions",
"Effect": "Allow",
"Action": [
"deadline:AssociateMemberToFarm",
"deadline:AssociateMemberToFleet",
"deadline:AssociateMemberToQueue",
"deadline:AssociateMemberToJob",
"deadline:DisassociateMemberFromFarm",
"deadline:DisassociateMemberFromFleet",
"deadline:DisassociateMemberFromQueue",
"deadline:DisassociateMemberFromJob",
"deadline:ListFarmMembers",
"deadline:ListFleetMembers",
"deadline:ListQueueMembers",
"deadline:ListJobMembers"
],
"Resource": ["*"]
},
{
"Sid": "DeadlineControlPlaneActions",
"Effect": "Allow",
"Action": [
"deadline:CreateMonitor",
"deadline:GetMonitor",
"deadline:UpdateMonitor",
"deadline:DeleteMonitor",
"deadline:ListMonitors",
"deadline:CreateFarm",
"deadline:GetFarm",
"deadline:UpdateFarm",
"deadline:DeleteFarm",
"deadline:ListFarms",
"deadline:CreateQueue",
"deadline:GetQueue",
"deadline:UpdateQueue",
"deadline:DeleteQueue",
"deadline:ListQueues",
"deadline:CreateFleet",
"deadline:GetFleet",
"deadline:UpdateFleet",
"deadline:DeleteFleet",
"deadline:ListFleets",
"deadline:ListWorkers",
"deadline:CreateQueueFleetAssociation",
"deadline:GetQueueFleetAssociation",
"deadline:UpdateQueueFleetAssociation",
"deadline:DeleteQueueFleetAssociation",
"deadline:ListQueueFleetAssociations",
"deadline:CreateQueueEnvironment",
"deadline:GetQueueEnvironment",
"deadline:UpdateQueueEnvironment",
"deadline:DeleteQueueEnvironment",
"deadline:ListQueueEnvironments",
"deadline:CreateLimit",
"deadline:GetLimit",
"deadline:UpdateLimit",
"deadline:DeleteLimit",
"deadline:ListLimits",
"deadline:CreateQueueLimitAssociation",
"deadline:GetQueueLimitAssociation",
"deadline:DeleteQueueLimitAssociation",
"deadline:UpdateQueueLimitAssociation",
"deadline:ListQueueLimitAssociations",
"deadline:CreateStorageProfile",
"deadline:GetStorageProfile",
"deadline:UpdateStorageProfile",
"deadline:DeleteStorageProfile",
"deadline:ListStorageProfiles",
"deadline:ListStorageProfilesForQueue",
"deadline:ListBudgets",
"deadline:TagResource",
"deadline:UntagResource",
"deadline:ListTagsForResource",
"deadline:CreateLicenseEndpoint",
"deadline:GetLicenseEndpoint",
"deadline:DeleteLicenseEndpoint",
"deadline:ListLicenseEndpoints",
"deadline:ListAvailableMeteredProducts",
"deadline:ListMeteredProducts",
"deadline:PutMeteredProduct",
"deadline:DeleteMeteredProduct",
"deadline:GetMonitorSettings",
"deadline:UpdateMonitorSettings"
],
"Resource": ["*"]
}]
}
```
------
## キューにジョブを送信するポリシー
この例では、特定のファーム内の特定のキューにジョブを送信するアクセス許可を付与するスコープダウンポリシーを作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SubmitJobsFarmAndQueue",
"Effect": "Allow",
"Action": "deadline:CreateJob",
"Resource": "arn:aws:deadline:{{us-east-1}}:{{111122223333}}:farm/{{FARM_A}}/queue/{{QUEUE_B}}/job/*"
}
]
}
```
------
## ライセンスエンドポイントの作成を許可するポリシー
この例では、ライセンスエンドポイントを作成および管理するために必要なアクセス許可を付与するスコープダウンポリシーを作成します。このポリシーを使用して、ファームに関連付けられた VPC のライセンスエンドポイントを作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "CreateLicenseEndpoint",
"Effect": "Allow",
"Action": [
"deadline:CreateLicenseEndpoint",
"deadline:DeleteLicenseEndpoint",
"deadline:GetLicenseEndpoint",
"deadline:ListLicenseEndpoints",
"deadline:PutMeteredProduct",
"deadline:DeleteMeteredProduct",
"deadline:ListMeteredProducts",
"deadline:ListAvailableMeteredProducts",
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": [
"arn:aws:deadline:*:{{111122223333}}:*",
"arn:aws:ec2:*:{{111122223333}}:vpc-endpoint/*"
]
}]
}
```
------
## 特定のファームキューのモニタリングを許可するポリシー
この例では、特定のファームの特定のキュー内のジョブをモニタリングするアクセス許可を付与するスコープダウンポリシーを作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "MonitorJobsFarmAndQueue",
"Effect": "Allow",
"Action": [
"deadline:SearchJobs",
"deadline:ListJobs",
"deadline:GetJob",
"deadline:SearchSteps",
"deadline:ListSteps",
"deadline:ListStepConsumers",
"deadline:ListStepDependencies",
"deadline:GetStep",
"deadline:SearchTasks",
"deadline:ListTasks",
"deadline:GetTask",
"deadline:ListSessions",
"deadline:GetSession",
"deadline:ListSessionActions",
"deadline:GetSessionAction"
],
"Resource": [
"arn:aws:deadline:{{us-east-1}}:{{123456789012}}:farm/{{FARM_A}}/queue/{{QUEUE_B}}",
"arn:aws:deadline:{{us-east-1}}:{{123456789012}}:farm/{{FARM_A}}/queue/{{QUEUE_B}}/*"
]
}]
}
```
------