Amazon SQS の属性ベースのアクセス制御 - Amazon Simple Queue Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SQS の属性ベースのアクセス制御

ABAC とは

属性ベースのアクセス制御 (ABAC) は、ユーザーおよび AWS リソースにアタッチされたタグに基づいてアクセス許可を定義する認可プロセスです。ABAC は、属性と値に基づいてきめ細かく柔軟なアクセス制御を実現し、再構成されたロールベースのポリシーに関連するセキュリティリスクを軽減し、監査とアクセスポリシー管理を一元化します。ABAC の詳細については、「IAM ユーザーガイド」の「AWS の ABAC とは」を参照してください。

Amazon SQS は、Amazon SQS キューに関連付けられているタグとエイリアスに基づいて Amazon SQS キューへのアクセスを制御できるようにすることで、ABAC をサポートしています。Amazon SQS の ABAC を有効にするタグおよびエイリアスの条件キーは、ポリシーを編集したりグラントを管理することなく、IAM プリンシパルが Amazon SQS キューを使用することを許可します。ABAC の条件キーの詳細については、「サービス認可リファレンス」の「Amazon SQS の条件キー」を参照してください。

ABAC では、タグを使用して Amazon SQS キューの IAM アクセス許可とポリシーを設定できます。これにより、アクセス許可管理をスケールできます。各ビジネスロールに追加するタグを使用して、IAM で単一のアクセス許可ポリシーを作成できます。新しいリソースを追加するたびにポリシーを更新する必要はありません。IAM プリンシパルにタグをアタッチして ABAC ポリシーを作成することもできます。呼び出しを行う IAM ユーザーロールのタグが Amazon SQS キュータグと一致した場合に Amazon SQS オペレーションを許可するように ABAC ポリシーを設計できます。AWS でのタグ付けの詳細については、「AWS タグ付け戦略」と「Amazon SQSコスト配分タグ」を参照してください。

注記

Amazon SQS 用 ABAC は現在、Amazon SQS が利用可能なすべての AWS 商用リージョンで利用できます。ただし、以下の例外があります。

  • アジアパシフィック (ハイデラバード)

  • アジアパシフィック (メルボルン)

  • 欧州 (スペイン)

  • 欧州 (チューリッヒ)

Amazon SQS で ABAC を使用すべき理由は何ですか。

Amazon SQS で ABAC を使用すると、以下のようなメリットがあります。

  • Amazon SQS 用 ABAC では、必要なアクセス許可ポリシーが少なくて済みます。職務機能ごとに異なるポリシーを作成する必要はありません。複数のキューに適用されるリソースタグとリクエストタグを使用できるため、運用上のオーバーヘッドが軽減できます。

  • ABAC を使用すると、チームを迅速にスケールできます。リソースの作成時に適切なタグが付けられると、新しいリソースのアクセス許可はタグに基づいて自動的に付与されます。

  • IAM プリンシパルのアクセス許可を使用して、リソースへのアクセスを制限します。IAM プリンシパルのタグを作成し、そのタグを使用して IAM プリンシパルのタグと一致する特定のアクションへのアクセスを制限できます。これにより、リクエストのアクセス許可を付与するプロセスを自動化できます。

  • リソースにアクセスしているユーザーを追跡できます。セッションの ID は、AWS CloudTrail のユーザー属性を調べることで判断できます。