翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Textract のアイデンティティベースのポリシーの例
IAM ユーザーおよびロールには、Amazon Textract リソースを作成または変更するアクセス許可は付与されていません。AWS マネジメントコンソール、AWS CLI、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーを添付します。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、*「IAM ユーザーガイド」*の[「JSON タブでのポリシーの作成」](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)を参照してください。
**Topics**
+ [ポリシーのベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [ユーザーに自分のアクセス許可の表示を許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Amazon Textract での同期オペレーションへのアクセスを許可する](#security_iam_sync-actions)
+ [Amazon Textract での非同期オペレーションへのアクセスを許可する](#security_iam_async-actions)
## ポリシーのベストプラクティス
アイデンティティベースポリシーは非常に強力です。これらは、アカウント内で Amazon Textract リソースを作成、アクセス、または削除できるユーザーを決定します。これらのアクションを実行すると、AWS アカウント に追加料金が発生する可能性があります。アイデンティティベースポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従います:
+ **の使用を開始します。AWSマネージドポリシー**— Amazon Textract をすぐに使い始めるには、AWS従業員に必要なアクセス許可を付与するための管理ポリシー。これらのポリシーはアカウントで既に有効になっており、AWS によって管理および更新されています。詳細については、*IAM ユーザーガイド*の「[AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)を使用したアクセス許可の使用スタート」を参照してください。
+ **最小権限を付与する** – カスタムポリシーを作成するときは、タスクの実行に必要な許可のみを付与します。最小限のアクセス許可からスタートし、必要に応じて追加のアクセス許可を付与します。この方法は、寛容なアクセス許可で始め、後でそれらを強化しようとするよりも安全です。詳細については、『*IAM ユーザーガイド*』の「[最小特権を認める](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)」を参照してください。
+ **機密性の高い操作に MFA を有効にする** – 追加セキュリティとして、機密性の高いリソースまたは API 操作にアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、*IAM ユーザーガイド*の「[AWS での多要素認証 (MFA) の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
+ **追加のセキュリティとしてポリシー条件を使用する** – 実行可能な範囲内で、ID ベースのポリシーでリソースへのアクセスを許可する条件を定義します。例えば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。詳細については、「」を参照してください。[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)の*IAM ユーザーガイド*。
## ユーザーに自分のアクセス許可の表示を許可
この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Amazon Textract での同期オペレーションへのアクセスを許可する
この例のポリシーは、Amazon Textract の同期アクションへのアクセスをの IAM ユーザーに付与します。AWSアカウント.
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"textract:DetectDocumentText",
"textract:AnalyzeDocument"
],
"Resource": "*"
}
]
```
## Amazon Textract での非同期オペレーションへのアクセスを許可する
次のポリシー例では、IAM ユーザーにAWSAmazon Textract で使用されるすべての非同期オペレーションへのアカウントアクセス。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"textract:StartDocumentTextDetection",
"textract:StartDocumentAnalysis",
"textract:GetDocumentTextDetection",
"textract:GetDocumentAnalysis"
],
"Resource": "*"
}
]
}
```