翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EVS と の連携方法 IAM
<a name="security_iam_service-with-iam"></a>

 IAM を使用して Amazon EVS へのアクセスを管理する前に、Amazon EVS で使用できる IAM 機能を確認してください。


|  IAM 機能 | Amazon EVS のサポート | 
| --- | --- | 
|   [Amazon EVS のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)   |  はい  | 
|   [Amazon EVS 内のリソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)   |  なし  | 
|   [Amazon EVS のポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions)   |  はい  | 
|   [Amazon EVS のポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources)   |  部分的  | 
|   [Amazon EVS のポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys)   |  はい  | 
|   [Amazon EVS のアクセスコントロールリスト (ACLs)](#security_iam_service-with-iam-acls)   |  なし  | 
|   [Amazon EVS を使用した属性ベースのアクセスコントロール (ABAC)](#security_iam_service-with-iam-tags)   |  はい  | 
|   [Amazon EVS での一時的な認証情報の使用](#security_iam_service-with-iam-roles-tempcreds)   |  はい  | 
|   [Amazon EVS の転送アクセスセッション](#security_iam_service-with-iam-principal-permissions)   |  あり  | 
|   [Amazon EVS のサービスロール](#security_iam_service-with-iam-roles-service)   |  なし  | 
|   [Amazon EVS のサービスにリンクされたロール](#security_iam_service-with-iam-roles-service-linked)   |  はい  | 

Amazon EVS およびその他の の AWS のサービス 仕組みの概要については IAM、*IAM ユーザーガイド*の「 [AWS のサービス の仕組み IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

## Amazon EVS のアイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

 **ID ベースのポリシーのサポート:** あり

アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。

 IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。プリンシパルはアタッチされているユーザーまたはロールに適用されるため、アイデンティティベースのポリシーでは指定できません。JSON ポリシーで使用するすべての要素については、*IAM ユーザーガイド*の[IAM 「JSON ポリシー要素リファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### Amazon EVS のアイデンティティベースのポリシーの例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Amazon EVS アイデンティティベースのポリシーの例を表示するには、「」を参照してください[Amazon EVS アイデンティティベースのポリシーの例](security-iam-id-based-policy-examples.md)。

### Amazon EVS 内のリソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

 **リソースベースのポリシーのサポート:** なし

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。

クロスアカウントアクセスを有効にするには、アカウント全体、または別のアカウントの IAM エンティティをリソースベースのポリシーのプリンシパルとして指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる場合 AWS アカウント、信頼されたアカウントの IAM 管理者は、プリンシパルエンティティ (ユーザーまたはロール) にリソースへのアクセス許可も付与する必要があります。IAM 管理者は、アイデンティティベースのポリシーをエンティティにアタッチすることで権限を付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、アイデンティティベースのポリシーをさらに付与する必要はありません。詳細については、IAM ユーザーガイド[の「IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。

### Amazon EVS のポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

 **アクションをサポート** はい

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

 IAM アイデンティティベースのポリシーの `Action`要素は、ポリシーによって許可または拒否される特定のアクションを記述します。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon EVS のポリシーアクションは、アクションの前にプレフィックス を使用します`evs:`。例えば、Amazon EVS `CreateEnvironment` API オペレーションを使用して環境を作成するアクセス許可を付与するには、ポリシーに `evs:CreateEnvironment`アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Amazon EVS は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

```
"Action": [
      "evs:action1",
      "evs:action2"
```

ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "evs:List*"
```

Amazon EVS アクションのリストを確認するには、*「サービス認可リファレンス*」の[「Amazon EVS で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions)」を参照してください。

### Amazon EVS のポリシーリソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

 **ポリシーリソースのサポート:** 一部

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ステートメントには`Resource` または `NotResource` 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは*リソースレベルの許可*と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの許可をサポートしないアクションの場合はステートメントがすべてのリソースに適用されることを表示するワイルドカード (\$1) を使用します。

```
"Resource": "*"
```

Amazon EVS リソースタイプとその ARNs[「Amazon Elastic VMware Service で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-resources-for-iam-policies)」を参照してください。 **各リソースの ARN を指定できるアクションについては、[「Amazon Elastic VMware Service で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvwareservice.html#amazonelasticvmwareservice-actions-as-permissions)」を参照してください。

一部の Amazon EVS API アクションは、複数のリソースをサポートしています。たとえば、 `ListEnvironments` API アクションを呼び出すときに複数の環境を参照できます。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

```
"Resource": [
      "EXAMPLE-RESOURCE-1",
      "EXAMPLE-RESOURCE-2"
```

例えば、Amazon EVS 環境リソースには次の ARN があります。

```
arn:${Partition}:evs:${Region}:${Account}:environment/${EnvironmentId}
```

ステートメント`my-environment-2`で環境`my-environment-1`と を指定するには、次の ARNs の例を使用します。

```
"Resource": [
         "arn:aws:evs:us-east-1:123456789012:environment/my-environment-1",
         "arn:aws:evs:us-east-1:123456789012:environment/my-environment-2"
```

特定のアカウントに属するすべての環境を指定するには、ワイルドカード (\$1) を使用します。

```
"Resource": "arn:aws:evs:us-east-1:123456789012:environment/*"
```

### Amazon EVS のポリシー条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

 **サービス固有のポリシー条件キーのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Condition` 要素 (または`Condition`ブロック) を使用すると、ステートメントが有効になる条件を指定できます。`Condition` 要素はオプションです。イコールや未満などの [条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、 AWS では `AND` 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理`OR`オペレーションを使用して条件 AWS を評価します。ステートメントのアクセス許可が付与される前に、すべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、リソースにその IAM ユーザー 名前がタグ付けされている場合にのみ、リソースへのアクセス IAM ユーザー 許可を付与できます。詳細については、*IAM ユーザーガイド*の[IAM 「ポリシー要素: 変数とタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

Amazon EVS は独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

すべての Amazon EC2 アクションは、 `aws:RequestedRegion` および `ec2:Region`条件キーをサポートします。詳細については、「[例: 特定のリージョンへのアクセスの制限](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)」を参照してください。

Amazon EVS 条件キーのリストを確認するには、*「サービス認可リファレンス*」の[「Amazon EVS の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「Amazon EVS で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions)」を参照してください。

## Amazon EVS のアクセスコントロールリスト (ACLs)
<a name="security_iam_service-with-iam-acls"></a>

 **ACL のサポート:** なし

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

## Amazon EVS を使用した属性ベースのアクセスコントロール (ABAC)
<a name="security_iam_service-with-iam-tags"></a>

 **ABAC (ポリシー内のタグ) のサポート:** あり

属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。では AWS、これらの属性はタグと呼ばれます。タグは、IAM エンティティ (ユーザーまたはロール) および多くの AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初のステップです。次に、プリンシパルのタグが、アクセスを試行するリソースのタグと一致したときにオペレーションを許可するよう、ABAC ポリシーを設計します。

ABAC は、急成長する環境や、ポリシー管理が煩雑になる状況で役に立ちます。

Amazon EVS リソースにタグをアタッチすることも、Amazon EVS へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを管理するには、`aws:ResourceTag/<key-name>`、`aws:RequestTag/<key-name>`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。条件キーでタグを使用できるアクションの詳細については、*「サービス認可リファレンス*」の[「Amazon EVS で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions)」を参照してください。

## Amazon EVS での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

 **一時的な認証情報のサポート:** あり

一部の AWS のサービス は、一時的な認証情報を使用してサインインすると機能しません。一時的な認証情報 AWS のサービス を使用する場合などの詳細については、IAM *ユーザーガイド*[AWS のサービス の「IAM と連携する ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

ユーザー名とパスワード以外の AWS マネジメントコンソール 方法で にサインインする場合は、一時的な認証情報を使用します。たとえば、会社のシングルサインオン (SSO) リンク AWS を使用して にアクセスすると、そのプロセスによって一時的な認証情報が自動的に作成されます。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、「*IAM ユーザーガイド*」の「[ユーザーから IAM ロールに切り替える (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)」を参照してください。

一時的な認証情報は、 AWS CLI または AWS API を使用して手動で作成できます。その後、これらの一時的な認証情報を使用して アクセスできます AWS。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「[IAM の一時的セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」を参照してください。

## Amazon EVS の転送アクセスセッション
<a name="security_iam_service-with-iam-principal-permissions"></a>

 **転送アクセスセッション (FAS) のサポート:** あり

IAM ユーザーまたはロールを使用して でアクションを実行すると AWS、プリンシパルと見なされます。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。FAS は、 を呼び出すプリンシパルのアクセス許可を AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする と組み合わせて使用します。FAS リクエストは、サービスが他の AWS のサービス またはリソースとのやり取りを完了する必要があるリクエストを受け取った場合にのみ行われます。この場合、両方のアクションを実行するためのアクセス許可が必要です。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。

## Amazon EVS のサービスロール
<a name="security_iam_service-with-iam-roles-service"></a>

 **サービスロールのサポート:** なし

サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。

## Amazon EVS のサービスにリンクされたロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

 **サービスリンクロールのサポート:** あり

サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。

Amazon EVS サービスにリンクされたロールの作成または管理の詳細については、「」を参照してください[Amazon EVS のサービスにリンクされたロールの使用](using-service-linked-roles.md)。