権限

権限と動詞の関係を理解するには、例を見てみましょう。グループのinspect volumesを許可するポリシー・ステートメントは、実際にはVOLUME_INSPECTと呼ばれる権限へのグループ・アクセスを付与します(権限は常にすべて大文字とアンダースコアを使用して記述されます)。一般に、この権限によりユーザーはブロック・ボリュームに関する情報を取得できます。

inspect > read > use > manageにアクセスすると、通常はアクセスのレベルが増え、付与された権限は累積されます。次の表に、volumesリソース・タイプの各動詞に含まれる権限を示します。inspectからreadまで追加の権限は付与されていないことに注意してください。

ポリシー・リファレンスは、指定された各リソース・タイプについて、各動詞に適用される権限をリストします。たとえば、コア・サービスの対象となるブロック・ボリュームや他のリソースの場合は、動詞とリソース・タイプの組合せの詳細の表を参照してください。それぞれの表の左の列に、各動詞に適用される権限を示します。ポリシー・リファレンスのその他のセクションには、他のサービスと同じ種類の情報が含まれています。

各API操作では、コール元が1つ以上の権限にアクセスする必要があります。たとえば、ListVolumesまたはGetVolumeを使用するには、VOLUME_INSPECTという単一の権限にアクセスする必要があります。ボリュームをインスタンスにアタッチするには、複数の権限にアクセスする必要があります。これらの権限の一部は、volumesリソース・タイプに関連するもの、volume-attachmentsリソース・タイプに関連するもの、およびinstancesリソース・タイプに関連するものです。

• VOLUME_WRITE
• VOLUME_ATTACHMENT_CREATE
• INSTANCE_ATTACH_VOLUME

ポリシー・リファレンスでは、各API操作に必要な権限がリストされます。たとえば、Core Services API操作の場合は、各API操作に必要な権限の表を参照してください。

ポリシー言語は、ステートメント内で必要な権限を示すことなく、動詞およびリソース・タイプのみを含む単純なステートメントを記述できるように設計されています。ただし、特定のユーザーが持っている特定の権限をセキュリティ・チーム・メンバーまたは監査者が把握したい場合があります。ポリシー・リファレンスの表には、各動詞とそれに関連する権限が表示されます。ユーザーが所属するグループおよびそのグループに適用可能なポリシーを確認し、付与された権限のリストをコンパイルできます。ただし、権限のリストは全体像ではありません。ポリシー・ステートメントの条件は、個々の権限を超えたユーザーのアクセスをスコープ設定できます(次の項を参照)。また、各ポリシー・ステートメントは特定のコンパートメントを指定し、そのコンパートメント内の特定のリソースのみにアクセスをさらにスコープ設定する条件を使用できます。