翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# License Manager の Identity and Access Management
<a name="identity-access-management"></a>

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を認証 (サインイン) し、誰に AWS リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAM では、 AWS アカウントの下にユーザーとグループを作成できます。ユーザーが AWS リソースを使用してタスクを実行するために必要なアクセス許可を制御します。IAMは追加料金なしでご利用いただけます。

デフォルトでは、ユーザーには License Manager のリソースおよびオペレーションのための許可がありません。ユーザーが License Manager のリソース管理できるようにするには、許可を明示的に付与する IAM ポリシーを作成する必要があります。

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。詳細については、*IAM ユーザーガイド*の[ポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)を参照してください。

## ユーザー、グループ、ロールを作成する
<a name="getting-started-create-users-groups-roles"></a>

のユーザーとグループを作成し AWS アカウント 、必要なアクセス許可を割り当てることができます。ベストプラクティスとして、ユーザーは IAM ロールを引き受けて許可を取得する必要があります。 AWS アカウントのユーザーとグループを設定する方法の詳細については、「[License Manager の使用を開始する](getting-started.md)」を参照してください。

 IAM [ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。その代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。

## IAM ポリシーの構造
<a name="iam-policy-structure"></a>

IAM ポリシーは 1つ以上のステートメントで構成されるJSONドキュメントです。各ステートメントの構成は以下のとおりです。

```
{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}
```

様々な要素がステートメントを構成しています
+ [**Effect**]:*effect* は、`Allow`または`Deny`にすることができます。デフォルトでは、 ユーザーはリソースおよび API オペレーションを使用するアクセス権限がないため、リクエストはすべて拒否されます。明示的な*許可*はデフォルトに上書きされます。明示的な*拒否*はすべての許可に上書きされます。
+ [**Action**]:*アクション* は、許可または拒否する特定のAPI操作のことです。
+ [**リソース**]:リソースはアクションの影響を受けます。一部のLicense Maneger APIオペレーションでは、オペレーションによって作成/変更できるリソースをポリシー内に含めることができます。ステートメント内でリソースを指定するには、Amazonリソースネーム(ARN)を使用する必要があります。詳細については、[「 で定義されるアクション AWS License Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awslicensemanager.html#awslicensemanager-actions-as-permissions)」を参照してください。
+ **Condition]** (条件): condition はオプションです。ポリシーの発効条件を指定するために使用します。詳細については、「[AWS License Managerの条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awslicensemanager.html#awslicensemanager-policy-keys)」を参照してください。

## License Manager の IAM ポリシーを作成する
<a name="iam-policy-examples"></a>

IAMポリシーステートメントで、IAMをサポートするすべてのサービスから任意のAPIオペレーションを指定できます。License Manager は、API オペレーションの名前に次のようなプレフィックスを付けます。
+ `license-manager:`
+ `license-manager-user-subscriptions:`
+ `license-manager-linux-subscriptions:`

例えば、次のようになります。
+ `license-manager:CreateLicenseConfiguration`
+ `license-manager:ListLicenseConfigurations`
+ `license-manager-user-subscriptions:ListIdentityProviders`
+ `license-manager-linux-subscriptions:ListLinuxSubscriptionInstances`

使用可能な License Manager API の詳細については、以下の API リファレンスを参照してください。
+ [AWS License Manager API リファレンス](https://docs.aws.amazon.com/license-manager/latest/APIReference/Welcome.html)
+ [AWS License Manager ユーザーサブスクリプション API リファレンス](https://docs.aws.amazon.com/license-manager-user-subscriptions/latest/APIReference/Welcome.html)
+ [AWS License Manager Linux サブスクリプション API リファレンス](https://docs.aws.amazon.com/license-manager-linux-subscriptions/latest/APIReference/Welcome.html)

単一のステートメントに複数のオペレーションを指定するには、次のようにコンマで区切ります。

```
"Action": ["license-manager:action1", "license-manager:action2"]
```

ワイルドカードを使用して複数のオペレーションを指定することもできます。たとえば、名前が*List*で始まるすべての License Maneger API操作を次のように指定することができます。

```
"Action": "license-manager:List*"
```

すべてのLicense Maneger API操作を指定するには、次のように\$1ワイルドカードを使用します。

```
"Action": "license-manager:*"
```

### License Manager を使用する ISV のポリシーの例
<a name="vended-license-requirements"></a>

License Manegerを使用してライセンスを配布するISV には、次の許可が必要です。

------
#### [ JSON ]

****  

```
{ 
    "Version":"2012-10-17",		 	 	      
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}
```

------

## ユーザー、グループ、およびロールに許可を付与する
<a name="getting-started-grant-permissions"></a>

必要な IAM ポリシーを作成したら、ユーザー、グループ、ロールにこれらの許可を付与する必要があります。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については *IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス権限の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) を参照してください。