サポート終了通知: 2027 年 3 月 31 日、 AWS は Amazon WorkMail のサポートを終了します。2027 年 3 月 31 日以降、Amazon WorkMail コンソールまたは Amazon WorkMail リソースにアクセスできなくなります。詳細については、[Amazon WorkMail のサポート終了](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon WorkMail で IAM が機能する仕組み
IAM を使用して Amazon WorkMail へのアクセスを管理する前に、Amazon WorkMail で使用できる IAM 機能について理解しておく必要があります。Amazon WorkMail およびその他の AWS のサービスが IAM と連携する方法の概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Amazon WorkMail アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon WorkMail リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon WorkMail タグに基づいた認可](#security_iam_service-with-iam-tags)
+ [Amazon WorkMail IAM ロール](#security_iam_service-with-iam-roles)
## Amazon WorkMail アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon WorkMail は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon WorkMail のポリシーアクションは、アクションの前にプレフィックス `workmail:` を使用します。例えば、Amazon WorkMail `ListUsers` API オペレーションを使用してユーザーリストを取得するアクセス許可を付与するには、ポリシーに `workmail:ListUsers` アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Amazon WorkMail は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"workmail:ListUsers",
"workmail:DeleteUser"
```
ワイルドカード (\*) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "workmail:List*"
```
Amazon WorkMail アクションのリストを確認するには、*IAM ユーザーガイド*の [Amazon WorkMail で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkmail.html#amazonworkmail-actions-as-permissions)を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\*) を使用します。
```
"Resource": "*"
```
Amazon WorkMail は、Amazon WorkMail 組織のリソースレベルのアクセス許可をサポートしています。
Amazon WorkMail 組織リソースには、次の ARN があります。
```
arn:aws:workmail:${Region}:${Account}:organization/${OrganizationId}
```
ARNs[「Amazon リソースネーム (ARNs) と AWS サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `m-n1pq2345678r901st2u3vx45x6789yza` 組織を指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:workmail:us-east-1:111122223333:organization/m-n1pq2345678r901st2u3vx45x6789yza"
```
特定のアカウントに属するすべての組織を指定するには、ワイルドカード (\*) を使用します。
```
"Resource": "arn:aws:workmail:us-east-1:111122223333:organization/*"
```
リソースの作成を含む、一部の Amazon WorkMail アクションは、特定のリソースで実行できません。このような場合はワイルドカード \*を使用する必要があります。
```
"Resource": "*"
```
Amazon WorkMail のリソースタイプとそれらの ARN のリストを確認するには、*IAM ユーザーガイド*の [Amazon WorkMail で定義されるリソースタイプ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkmail.html#amazonworkmail-resources-for-iam-policies)を参照してください。各リソースの ARN を指定できるアクションについては、[Amazon WorkMail のアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkmail.html)を参照してください。
### 条件キー
Amazon WorkMail では、次のグローバル条件キーがサポートされています。
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:MultiFactorAuthAge`
+ `aws:MultiFactorAuthPresent`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalArn`
+ `aws:RequestedRegion`
+ `aws:SecureTransport`
+ `aws:UserAgent`
次のポリシー例では、`eu-west-1` AWS リージョンの MFA 認証された IAM プリンシパルからのみ Amazon WorkMail コンソールへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ses:Describe*",
"ses:Get*",
"workmail:Describe*",
"workmail:Get*",
"workmail:List*",
"workmail:Search*",
"lambda:ListFunctions",
"iam:ListRoles",
"logs:DescribeLogGroups",
"cloudwatch:GetMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"eu-west-1"
]
},
"Bool": {
"aws:MultiFactorAuthPresent": true
}
}
}
]
}
```
------
すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
`workmail:ImpersonationRoleId`Amazon WorkMail でサポートされている唯一のサービス固有の条件キーです。
以下のポリシー例では、`AssumeImpersonationRole`アクションを特定のWorkMail組織と偽装ロールに限定しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workmail:AssumeImpersonationRole"
],
"Resource": "arn:aws:workmail:{{us-east-1}}:{{111122223333}}:organization/{{m-n1pq2345678r901st2u3vx45x6789yza}}",
"Condition": {
"StringEquals": {
"workmail:ImpersonationRoleId":"{{12345678-1234-1234-1234-123456789012}}"
}
}
}
]
}
```
------
### 例
Amazon WorkMail でのアイデンティティベースのポリシーの例は、[Amazon WorkMail のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md) を参照してください。
## Amazon WorkMail リソースベースのポリシー
Amazon WorkMail では、 リソースベースのポリシーはサポートされていません。
## Amazon WorkMail タグに基づいた認可
タグは、Amazon WorkMail リソースにアタッチする、または Amazon WorkMail へのリクエストで渡すことができます。タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。Amazon WorkMail リソースのタグ付けの詳細については、[組織へのタグ付け](org-tag.md) を参照してください。
## Amazon WorkMail IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Amazon WorkMail での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Amazon WorkMail は、一時的な認証情報の使用をサポートします。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
Amazon WorkMail は、サービスにリンクされたロールをサポートしています。Amazon WorkMail でのサービスにリンクされたロールの作成または管理の詳細については、[Amazon WorkMail のサービスリンクロールの使用](using-service-linked-roles.md) を参照してください。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Amazon WorkMail は、サービスロールをサポートしています。