翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ポリシーストアエイリアスへのアクセスの制御
<a name="policy-store-aliases-control-access"></a>

ポリシーストアエイリアスを管理するプリンシパルには、それらのポリシーストアエイリアス、および一部のオペレーションでは、ポリシーストアエイリアスが関連付けられているポリシーストアを操作するアクセス許可が必要です。これらのアクセス許可は、 ポリシーを使用して IAM 指定できます。

以下のセクションでは、ポリシーストアエイリアスの作成と管理に必要なアクセス許可について説明します。

## verifiedpermissions:CreatePolicyStoreAlias
<a name="alias-access-create"></a>

ポリシーストアエイリアスを作成するには、プリンシパルに、ポリシーストアエイリアスと関連付けられたポリシーストアの両方に対して次のアクセス許可が必要です。
+ `verifiedpermissions:CreatePolicyStoreAlias` ポリシーストアエイリアスの 。このアクセス許可を、 IAM ポリシーストアエイリアスの作成が許可されているプリンシパルにアタッチされた ポリシーに付与します。

  次のポリシーステートメントの例では、 `Resource`要素内の特定のポリシーストアエイリアスを指定します。ただし、複数のポリシーストアエイリアス ARNs を一覧表示したり、 などのポリシーストアエイリアスパターンを指定したりできます`"sample*"`。`Resource` の値を指定`"*"`して、プリンシパルが AWS アカウント および リージョンにポリシーストアエイリアスを作成できるようにすることもできます。

  ```
  {
    "Sid": "IAMPolicyForCreateAlias",
    "Effect": "Allow",
    "Action": "verifiedpermissions:CreatePolicyStoreAlias",
    "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
  }
  ```
+ `verifiedpermissions:CreatePolicyStoreAlias` 関連付けられたポリシーストアの 。このアクセス許可は、 IAM ポリシーで指定する必要があります。

  ```
  {
    "Sid": "PolicyStorePermissionForAlias",
    "Effect": "Allow",
    "Action": "verifiedpermissions:CreatePolicyStoreAlias",
    "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
  }
  ```

## verifiedpermissions:GetPolicyStoreAlias
<a name="alias-access-get"></a>

特定のポリシーストアエイリアスの詳細を取得するには、プリンシパルに IAM ポリシー内のポリシーストアエイリアスに対する`verifiedpermissions:GetPolicyStoreAlias`アクセス許可が必要です。

次のポリシーステートメントの例では、特定のポリシーストアエイリアスを取得するアクセス許可をプリンシパルに付与します。

```
{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```

## verifiedpermissions:ListPolicyStoreAliases
<a name="alias-access-view"></a>

 AWS アカウント および リージョンのポリシーストアエイリアスを一覧表示するには、プリンシパルに IAM ポリシーの`verifiedpermissions:ListPolicyStoreAliases`アクセス許可が必要です。このポリシーは特定のポリシーストアまたはポリシーストアエイリアスリソースに関連付けられていないため、ポリシーのリソース要素の値は である必要があります`"*"`。

たとえば、次の IAM ポリシーステートメントは、 内のすべてのポリシーストアエイリアスを一覧表示するアクセス許可をプリンシパルに付与します AWS アカウント。

```
{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}
```

## verifiedpermissions:DeletePolicyStoreAlias
<a name="alias-access-delete"></a>

ポリシーストアエイリアスを削除するには、プリンシパルにポリシーストアエイリアスのみのアクセス許可が必要です。

**注記**  
ポリシーストアエイリアスを削除しても、関連するポリシーストアには影響しませんが、ポリシーストアエイリアスを参照するアプリケーションはエラーを受け取ります。ポリシーストアエイリアスを誤って削除した場合は、24 時間の予約期間後に再作成できます。

プリンシパルには、ポリシーストアエイリアスの`verifiedpermissions:DeletePolicyStoreAlias`アクセス許可が必要です。このアクセス許可を、 IAM ポリシーストアエイリアスの削除が許可されているプリンシパルにアタッチされた ポリシーに付与します。

次のポリシーステートメントの例では、 `Resource`要素のポリシーストアエイリアスを指定します。ただし、複数のポリシーストアエイリアス ARNs を一覧表示したり、 などのポリシーストアエイリアスパターンを指定したりできます`"sample*"`。`Resource` の値を指定`"*"`して、プリンシパルが AWS アカウント および リージョンのポリシーストアエイリアスを削除できるようにすることもできます。

```
{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```

## Policy Store エイリアスのアクセス許可の制限
<a name="alias-access-limiting"></a>

ポリシーストアエイリアスを使用して、`policyStoreId`フィールドを入力として受け入れる任意のオペレーションでポリシーストアを参照できます。これを行うと、Amazon Verified Permissions はポリシーストアエイリアス`verifiedpermissions:GetPolicyStoreAlias`に対して を、関連付けられたポリシーストアに対してリクエストされたオペレーションを承認します。

たとえば、ポリシーストアエイリアスを使用して`IsAuthorized`オペレーションを実行する場合、プリンシパルには以下の両方が必要です。
+ `verifiedpermissions:GetPolicyStoreAlias` ポリシーストアエイリアスの アクセス許可
+ `verifiedpermissions:IsAuthorized` 関連付けられたポリシーストアの アクセス許可

次のポリシー例では、特定のポリシーストアエイリアス`IsAuthorized`を使用して を呼び出すアクセス許可を付与します。

```
{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}
```

プリンシパルが使用できるポリシーストアエイリアスを制限するには、 アクセス`verifiedpermissions:GetPolicyStoreAlias`許可を制限します。たとえば、次のポリシーでは、プリンシパルが で始まるもの以外のポリシーストアエイリアスを使用することを許可します`Restricted`。

```
{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}
```