

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Savings Plans 用の Identity and Access Management
<a name="identity-access-management"></a>

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。管理者は、ユーザーが引き受けることができる AWS アカウントでロールを作成できます。ユーザーが AWS リソースを使用してタスクを実行するために必要なアクセス許可を制御します。IAM は追加料金なしでご利用いただけます。

デフォルトでは、ユーザーには Savings Plans のリソースおよびオペレーションのためのアクセス許可がありません。Savings Plans のリソースをユーザーが管理できるようにするには、ユーザーにアクセス許可を委任するロールを作成する必要があります。手順については、「**IAM ユーザーガイド」の「[ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。

## ポリシーの構造
<a name="iam-policy-structure"></a>

IAM ポリシーは 1つ以上のステートメントで構成されるJSONドキュメントです。各ステートメントは次のように構成されます。

```
{
  "Statement":[{
    "Effect":"{{effect}}",
    "Action":"{{action}}",
    "Resource":"{{arn}}",
    "Condition":{
      "{{condition}}":{
        "{{key}}":"{{value}}"
        }
      }
    }
  ]
}
```

ステートメントはさまざまなエレメントで構成されます。
+ **Effect**: *effect* は`Allow` または `Deny` にすることができます。デフォルトでは ユーザーはリソースおよび API アクションを使用するアクセス許可がないため、リクエストはすべて拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に優先します。
+ [**アクション**]: アクション は、アクセス許可を付与または拒否する対象とする、特定の API アクションです。
+ **[リソース]**: アクションによって影響を及ぼされるリソースです。Amazon EC2 API アクションの中にはアクションによって作成/変更できるリソースをポリシー内で特定できるものもあります。ステートメント内でリソースを指定するには、Amazonリソースネーム(ARN)を使用する必要があります。詳細については、「[Savings Plans によって定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-actions-as-permissions)」を参照してください。
+ **Condition]** (条件): condition はオプションです。ポリシーの発効条件を指定するために使用します。詳細については、「[Savings Plans の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-policy-keys)」を参照してください。

## AWS マネージドポリシー
<a name="aws-managed-policies"></a>

によって作成された マネージドポリシーは、一般的なユースケースに必要なアクセス許可 AWS を付与します。ユーザーが引き受けることができるロールを作成したら、必要なアクセス権限に基づいてポリシーをアタッチできます。各ポリシーは、Savings Plans のすべてまたは一部の API アクションに対するアクセス権限を付与します。

Savings Plans の AWS マネージドポリシーは次のとおりです。
+ **AWSSavingsPlansFullAccess** — Savings Plans へのフルアクセスを付与します。
+ **AWSSavingsPlansReadOnlyAccess** — Savings Plans への読み取り専用アクセスを付与します。

## ポリシーの例
<a name="iam-policy-examples"></a>

IAM ポリシーステートメントで、IAM をサポートするすべてのサービスからの任意の API アクションを指定できます。Savings Plans の場合、API アクション の名前に次のプレフィックスを使用します: `savingsplans:`。例えば、次のようになります。
+ `savingsplans:CreateSavingsPlan`
+ `savingsplans:DescribeSavingsPlans`

単一のステートメントで複数のアクションを指定するには、次のようにカンマで区切ります。

```
"Action": ["savingsplans:action1", "savingsplans:action2"]
```

ワイルドカードを使用して複数のアクションを指定することもできます。例えば、以下のように「Describe」という単語で始まる名前のすべての Savings Plans API アクションを指定できます。

```
"Action": "savingsplans:Describe*"
```

Savings Plans API アクションをすべて指定するには、\* ワイルドカードを以下のように使用します。

```
"Action": "savingsplans:*"
```