View a markdown version of this page

ポリシーストアエイリアスへのアクセスの制御 - Amazon Verified Permissions
verifiedpermissions:CreatePolicyStoreAliasverifiedpermissions:GetPolicyStoreAliasverifiedpermissions:ListPolicyStoreAliasesverifiedpermissions:DeletePolicyStoreAliasPolicy Store エイリアスのアクセス許可の制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ポリシーストアエイリアスへのアクセスの制御

ポリシーストアエイリアスを管理するプリンシパルには、それらのポリシーストアエイリアス、および一部のオペレーションでは、ポリシーストアエイリアスが関連付けられているポリシーストアを操作するアクセス許可が必要です。これらのアクセス許可は、 ポリシーを使用して IAM 指定できます。

以下のセクションでは、ポリシーストアエイリアスの作成と管理に必要なアクセス許可について説明します。

verifiedpermissions:CreatePolicyStoreAlias

ポリシーストアエイリアスを作成するには、プリンシパルに、ポリシーストアエイリアスと関連付けられたポリシーストアの両方に対して次のアクセス許可が必要です。

  • verifiedpermissions:CreatePolicyStoreAlias ポリシーストアエイリアスの 。このアクセス許可を、 IAM ポリシーストアエイリアスの作成が許可されているプリンシパルにアタッチされた ポリシーに付与します。

    次のポリシーステートメントの例では、 Resource要素内の特定のポリシーストアエイリアスを指定します。ただし、複数のポリシーストアエイリアス ARNs を一覧表示したり、 などのポリシーストアエイリアスパターンを指定したりできます"sample*"Resource の値を指定"*"して、プリンシパルが AWS アカウント および リージョンにポリシーストアエイリアスを作成できるようにすることもできます。

    {
  "Sid": "IAMPolicyForCreateAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

  • verifiedpermissions:CreatePolicyStoreAlias 関連付けられたポリシーストアの 。このアクセス許可は、 IAM ポリシーで指定する必要があります。

    {
  "Sid": "PolicyStorePermissionForAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

verifiedpermissions:GetPolicyStoreAlias

特定のポリシーストアエイリアスの詳細を取得するには、プリンシパルに IAM ポリシー内のポリシーストアエイリアスに対するverifiedpermissions:GetPolicyStoreAliasアクセス許可が必要です。

次のポリシーステートメントの例では、特定のポリシーストアエイリアスを取得するアクセス許可をプリンシパルに付与します。

{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

verifiedpermissions:ListPolicyStoreAliases

AWS アカウント および リージョンのポリシーストアエイリアスを一覧表示するには、プリンシパルに IAM ポリシーのverifiedpermissions:ListPolicyStoreAliasesアクセス許可が必要です。このポリシーは特定のポリシーストアまたはポリシーストアエイリアスリソースに関連付けられていないため、ポリシーのリソース要素の値は である必要があります"*"

たとえば、次の IAM ポリシーステートメントは、 内のすべてのポリシーストアエイリアスを一覧表示するアクセス許可をプリンシパルに付与します AWS アカウント。

{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}

verifiedpermissions:DeletePolicyStoreAlias

ポリシーストアエイリアスを削除するには、プリンシパルにポリシーストアエイリアスのみのアクセス許可が必要です。

注記

ポリシーストアエイリアスを削除しても、関連するポリシーストアには影響しませんが、ポリシーストアエイリアスを参照するアプリケーションはエラーを受け取ります。ポリシーストアエイリアスを誤って削除した場合は、24 時間の予約期間後に再作成できます。

プリンシパルには、ポリシーストアエイリアスのverifiedpermissions:DeletePolicyStoreAliasアクセス許可が必要です。このアクセス許可を、 IAM ポリシーストアエイリアスの削除が許可されているプリンシパルにアタッチされた ポリシーに付与します。

次のポリシーステートメントの例では、 Resource要素のポリシーストアエイリアスを指定します。ただし、複数のポリシーストアエイリアス ARNs を一覧表示したり、 などのポリシーストアエイリアスパターンを指定したりできます"sample*"Resource の値を指定"*"して、プリンシパルが AWS アカウント および リージョンのポリシーストアエイリアスを削除できるようにすることもできます。

{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

Policy Store エイリアスのアクセス許可の制限

ポリシーストアエイリアスを使用して、policyStoreIdフィールドを入力として受け入れる任意のオペレーションでポリシーストアを参照できます。これを行うと、Amazon Verified Permissions はポリシーストアエイリアスverifiedpermissions:GetPolicyStoreAliasに対して を、関連付けられたポリシーストアに対してリクエストされたオペレーションを承認します。

たとえば、ポリシーストアエイリアスを使用してIsAuthorizedオペレーションを実行する場合、プリンシパルには以下の両方が必要です。

  • verifiedpermissions:GetPolicyStoreAlias ポリシーストアエイリアスの アクセス許可

  • verifiedpermissions:IsAuthorized 関連付けられたポリシーストアの アクセス許可

次のポリシー例では、特定のポリシーストアエイリアスIsAuthorizedを使用して を呼び出すアクセス許可を付与します。

{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

プリンシパルが使用できるポリシーストアエイリアスを制限するには、 アクセスverifiedpermissions:GetPolicyStoreAlias許可を制限します。たとえば、次のポリシーでは、プリンシパルが で始まるもの以外のポリシーストアエイリアスを使用することを許可しますRestricted

{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}