翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 検索用の Resource Explorer ビューへのアクセス許可の付与
<a name="manage-views-grant-access"></a>

ユーザーが新しいビューで検索するには、そのユーザーに AWS Resource Explorer ビューへのアクセス許可を付与する必要があります。そのためには、そのビューで検索を実行する必要がある AWS Identity and Access Management (IAM) プリンシパルに ID ベースのアクセス許可ポリシーを適用します。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:

  アクセス許可セットを作成します。「AWS IAM アイデンティティセンター ユーザーガイド」の「[シークレットの作成と管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ ID プロバイダーを通じて IAM で管理されているユーザー:

  ID フェデレーションのロールを作成する。詳細については、「IAM ユーザーガイド」の「[サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」を参照してください。
+ IAM ユーザー:
  + ユーザーが実行できるロールを作成します。手順については、「IAM ユーザーガイド」の「[IAM ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
  + (非推奨) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。「IAM ユーザーガイド」の「[ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」の指示に従います。

次のいずれかの方法を使用します。
+ **既存の AWS マネージドポリシーを使用します**。Resource Explorer には、あらかじめ定義された AWS マネージドポリシーがいくつか用意されています。使用可能なすべての AWS マネージドポリシーの詳細については、[AWS の マネージドポリシー AWS Resource Explorer](security_iam_awsmanpol.md) を参照してください。

  たとえば、`AWSResourceExplorerReadOnlyAccess` ポリシーを使用して、アカウント内のすべてのビューでの検索権限を付与できます。
+ **独自のアクセス許可ポリシーを作成し、プリンシパルに割り当てます**。独自のポリシーを作成する場合、ポリシーステートメントの `Resource` の項目で各ビューの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) を指定することにより、アクセスを単一のビューまたは複数のビューの特定のサブセットに制限することができます。たとえば、次のサンプルポリシーを使用して、そのプリンシパルに 1 つのビューのみを使用して検索する権限を付与できます。

  ```
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "resource-explorer-2:Search",
                  "resource-explorer-2:GetView"
              ],
              "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
          }
      ]
  }
  ```

  IAM コンソールを使用してアクセス許可ポリシーを作成し、そのアクセス許可を必要とするプリンシパルに適用します。IAM アクセス許可ポリシーの詳細については、次のトピックを参照してください。
  + [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
  +  [IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
  + [ポリシーによって付与されるアクセス許可について](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)

## タグベースの認証を使用してビューへのアクセスを制御します。
<a name="manage-views-grant-access-abac"></a>

特定のリソースのみを含む結果を返すフィルター付きのビューを複数作成する場合、それらのビューへのアクセスを、それらのリソースを見る必要のあるプリンシパルのみに制限したい場合があると思います。[属性ベースのアクセス制御 (ABAC) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)戦略を使用することで、アカウント内のビューについてこのようなセキュリティを提供できます。ABAC が使用する属性は、AWS で操作を実行しようとするプリンシパルと、プリンシパルがアクセスを試みるリソースの両方に付けられるタグです。

ABAC はプリンシパルにアタッチされた標準の IAM 権限ポリシーを使用します。ポリシーは、ポリシーステートメントの `Condition` の項目を使用して、リクエスト元のプリンシパルに添付されたタグと対象のリソースに添付されたタグの両方がポリシーの要件と一致する場合にのみアクセスを許可します。

たとえば、会社の生産アプリケーションをサポートするすべての AWS リソースに `"Environment" = "Production"` タグを付けることができます。本番環境へのアクセスを許可されたプリンシパルのみがリソースを参照できるようにするには、そのタグを[フィルター](using-search-query-syntax.md#query-syntax-filters)として使用する Resource Explorer ビューを作成します。次に、ビューへのアクセスを適切なプリンシパルのみに制限するには、以下の項目例のような条件を持つポリシーを使用してアクセス許可を付与します。

```
{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}
```

前の例の `Condition` では、リクエストを行うプリンシパルにアタッチされた `Environment` タグが、リクエストで指定されたリソースに添付された `Environment` タグと**一致する場合にのみ**リクエストを許可するよう指定しています。この 2 つのタグが完全に一致しない場合、またはどちらかのタグが欠落している場合、Resource Explorer はリクエストを拒否します。

**重要**  
ABAC を正しく使用してリソースへのアクセスを保護するには、まずプリンシパルとリソースに添付されているタグを追加または変更する機能へのアクセスを制限する必要があります。ユーザーが AWS プリンシパルまたはリソースに添付されているタグを追加または変更できる場合、そのユーザーはそれらのタグによって制御される権限に影響を与えることができます。安全な ABAC 環境では、承認されたセキュリティ管理者のみがプリンシパルに添付されたタグを追加または変更する権限を持ち、リソースに添付されたタグを追加または変更できるのはセキュリティ管理者とリソース所有者だけです。

ABAC 戦略の正しい実装方法の詳細については、「IAM ユーザーガイド」の以下のトピックを参照してください。
+ [IAM チュートリアル: タグに基づいて AWS リソースへのアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)
+ [タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)

必要な ABAC インフラストラクチャが整ったら、[タグの使用開始] を使用して、どのユーザーにアカウント内の Resource Explorer ビューを使用した検索を許可するかを制御できます。この原則を説明するポリシー例については、以下のアクセス許可ポリシー例を参照してください。
+ [タグに基づいてビューへのアクセスを許可する](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-abac-views)
+ [タグベースのビュー作成のためのアクセス許可を付与する](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-abac-createview)