翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Transfer Family が IAM と連携する方法
AWS Identity and Access Management (IAM) を使用して へのアクセスを管理する前に AWS Transfer Family、使用できる IAM 機能を理解しておく必要があります AWS Transfer Family。 AWS Transfer Family およびその他の AWS のサービスが IAM と連携する方法の概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [AWS Transfer Family ID ベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [AWS Transfer Family リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [AWS Transfer Family タグに基づく認可](#security_iam_service-with-iam-tags)
+ [AWS Transfer Family IAM ロール](#security_iam_service-with-iam-roles)
## AWS Transfer Family ID ベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。 AWS Transfer Family は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、*AWS Identity and Access Management ユーザーガイド* の「[IAM JSON ポリシーエレメントのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前にプレフィックス AWS Transfer Family を使用します`transfer:`。たとえば、Transfer Family `CreateServer` API オペレーションを使用してサーバーを作成するアクセス許可を付与するには、ポリシーに `transfer:CreateServer` アクションを含めます。ポリシーステートメントには、`Action` 要素または `NotAction` 要素のいずれかを含める必要があります。 AWS Transfer Family は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。
単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。
```
"Action": [
"transfer:action1",
"transfer:action2"
```
ワイルドカード \$1を使用して複数のアクションを指定することができます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
```
"Action": "transfer:Describe*"
```
AWS Transfer Family アクションのリストを確認するには、*「サービス認可リファレンス*」の[「 で定義されるアクション AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Transfer Family サーバーリソースには、次の ARN があります。
```
arn:aws:transfer:${Region}:${Account}:server/${ServerId}
```
たとえば、ステートメントで `s-01234567890abcdef` Transfer Family サーバーを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/s-01234567890abcdef"
```
ARN の形式の詳細については、[「サービス認可リファレンスARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」、または「IAM **[ユーザーガイド」の「IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)」を参照してください。 **
特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード \$1を使用します。
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/*"
```
一部の AWS Transfer Family アクションは、IAM ポリシーで使用されるものなど、複数のリソースで実行されます。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "arn:aws:transfer:*:123456789012:server/*"
```
場合によっては、複数のタイプのリソースを指定する必要があります。たとえば、Transfer Family サーバーとユーザーへのアクセスを許可するポリシーを作成する場合などです。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
]
```
AWS Transfer Family リソースのリストを確認するには、*「サービス認可リファレンス*」の「 [で定義されるリソースタイプ AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-resources-for-iam-policies)」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS Transfer Family は独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。 AWS Transfer Family 条件キーのリストを確認するには、*「サービス認可リファレンス*」の「 [の条件キー AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-policy-keys)」を参照してください。
### 例
AWS Transfer Family アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS Transfer Family アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。VPC エンドポイント固有の IAM ポリシーについては、「」を参照してください[Transfer Family サーバーの VPC エンドポイントアクセスの制限](create-server-in-vpc.md#limit-vpc-endpoint-access)。
## AWS Transfer Family リソースベースのポリシー
リソースベースのポリシーは、指定されたプリンシパルが AWS Transfer Family リソースに対して実行できるアクションと条件を指定する JSON ポリシードキュメントです。Amazon S3 は、Amazon S3 *バケット*に関するリソースベースのアクセス許可ポリシーをサポートします。リソースベースのポリシーでは、リソースごとに他の アカウントに使用許可を付与することができます。リソースベースのポリシーを使用して、 AWS サービスが Amazon S3 *バケット*にアクセスすることを許可することもできます。
クロスアカウントアクセスを有効にするには、アカウント全体、または別のアカウントの IAM エンティティを[リソースベースのポリシーのプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)として指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合は、プリンシパルエンティティにリソースへのアクセス許可も付与する必要があります。アクセス許可は、アイデンティティベースのポリシーをエンティティにアタッチすることで付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、ID ベースのポリシーをさらに付与する必要はありません。詳細については、*AWS Identity and Access Management ユーザーガイド*の「[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)」を参照してください。
Amazon S3 サービスは、**バケット*ポリシー*と呼ばれるリソースベースのポリシーの 1 つのタイプのみサポートし、それが*バケット*にアタッチされます。このポリシーは、どのプリンシパルエンティティ(アカウント、ユーザー、ロール、および連携ユーザー)がオブジェクトに対してアクションを実行できるかを定義します。
### 例
AWS Transfer Family リソースベースのポリシーの例を表示するには、「」を参照してください[AWS Transfer Family タグベースのポリシーの例](security_iam_tag-based-policy-examples.md)。
## AWS Transfer Family タグに基づく認可
AWS Transfer Family リソースにタグをアタッチしたり、リクエストでタグを渡すことができます AWS Transfer Family。タグに基づいてアクセスを管理するには、`transfer:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。タグを使用して AWS Transfer Family リソースへのアクセスを制御する方法については、「」を参照してください[AWS Transfer Family タグベースのポリシーの例](security_iam_tag-based-policy-examples.md)。
## AWS Transfer Family IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### での一時的な認証情報の使用 AWS Transfer Family
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
AWS Transfer Family では、一時的な認証情報の使用がサポートされています。