Savings Plans 用の Identity and Access Management
AWS Identity and Access Management IAMは、管理者が AWS リソースへのアクセスを安全にコントロールするために役立つ AWS のサービスです。管理者は、AWS アカウントでユーザーが継承できるロールを作成することができます。ユーザーが AWS リソースを使用してタスクを実行するためのアクセス許可を制御します。IAM は追加料金なしでご利用いただけます。
デフォルトでは、ユーザーには Savings Plans のリソースおよびオペレーションのためのアクセス許可がありません。Savings Plans のリソースをユーザーが管理できるようにするには、ユーザーにアクセス許可を委任するロールを作成する必要があります。手順については、「IAM ユーザーガイド」の「ユーザー用ロールの作成」を参照してください。
ポリシーの構造
IAM ポリシーは 1つ以上のステートメントで構成されるJSONドキュメントです。各ステートメントは次のように構成されます。
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}ステートメントはさまざまなエレメントで構成されます。
-
Effect: effect は、
AllowまたはDenyにすることができます。デフォルトでは、 ユーザーはリソースおよび API アクションを使用するアクセス許可がないため、リクエストはすべて拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に優先します。 -
[アクション]: アクション は、アクセス許可を付与または拒否する対象とする、特定の API アクションです。
-
[リソース]: アクションによって影響を及ぼされるリソースです。Amazon EC2 API アクションの中には、アクションによって作成/変更できるリソースをポリシー内で特定できるものもあります。ステートメント内でリソースを指定するには、Amazonリソースネーム(ARN)を使用する必要があります。詳細については、「Savings Plans によって定義されるアクション」を参照してください。
-
Condition] (条件): condition はオプションです。ポリシーの発効条件を指定するために使用します。詳細については、「Savings Plans の条件キー」を参照してください。
AWS マネージドポリシー
AWS によって作成されたマネージドポリシーは、一般的ユースケースに必要なアクセス権限を付与します。ユーザーが引き受けることができるロールを作成したら、必要なアクセス権限に基づいてポリシーをアタッチできます。各ポリシーは、Savings Plans のすべてまたは一部の API アクションに対するアクセス権限を付与します。
Savings Plans の AWS 管理ポリシーは次のとおりです。
-
AWSSavingsPlansFullAccess — Savings Plans へのフルアクセスを付与します。
-
AWSSavingsPlansReadOnlyAccess — Savings Plans への読み取り専用アクセスを付与します。
ポリシーの例
IAM ポリシーステートメントで、IAM をサポートするすべてのサービスからの任意の API アクションを指定できます。Savings Plans の場合、API アクション の名前に次のプレフィックスを使用します: savingsplans:。例:
-
savingsplans:CreateSavingsPlan -
savingsplans:DescribeSavingsPlans
単一のステートメントで複数のアクションを指定するには、次のようにカンマで区切ります。
"Action": ["savingsplans:action1", "savingsplans:action2"]ワイルドカードを使用して複数のアクションを指定することもできます。例えば、以下のように「Describe」という単語で始まる名前のすべての Savings Plans API アクションを指定できます。
"Action": "savingsplans:Describe*"Savings Plans API アクションをすべて指定するには、* ワイルドカードを以下のように使用します。
"Action": "savingsplans:*"