すべてのプロダクト
Search

このプロダクト

    Intelligent Media Services:IMS のカスタムポリシー

    ドキュメントセンター

    Intelligent Media Services:IMS のカスタムポリシー

    最終更新日:Jan 12, 2025

    システムポリシーが要件を満たしていない場合は、最小権限の原則を実装するためにカスタムポリシーを作成できます。カスタムポリシーを使用すると、権限をきめ細かく制御し、リソースアクセスセキュリティを向上させることができます。このトピックでは、Intelligent Media Services (IMS) のカスタムポリシーについて説明し、カスタムポリシーの例を示します。

    カスタムポリシーの概要

    RAM ポリシーは、システムポリシーとカスタムポリシーに分類されます。カスタムポリシーを作成、更新、および削除できます。カスタムポリシーのバージョンを管理する必要があります。

    • カスタムポリシーを作成した後、ポリシーを RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチする必要があります。このようにして、ポリシーで指定された権限をプリンシパルに付与できます。

    • プリンシパルにアタッチされていない RAM ポリシーは削除できます。RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルから RAM ポリシーをデタッチする必要があります。

    • カスタムポリシーはバージョン管理をサポートしています。RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。

    関連情報

    一般的なシナリオとカスタムポリシーの例

    このセクションでは、一部の IMS リソースに対する読み取り専用権限を付与するためのサンプルポリシーのパラメーターについてのみ説明します。このセクションの他のサンプルポリシーのパラメーターは、パラメーターが類似しているため説明していません。

    • 一部の IMS リソースに対する読み取り専用権限の付与

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ice:GetMediaProducingJob",
        "ice:GetEditingProject",
        "ice:GetMediaInfo",
        "ice:ListMediaBasicInfos",
        "ice:SearchEditingProject"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "192.168.0.1"
        }
      }
    }
  ]
}

      パラメーターの説明

      パラメーター

      必須

      説明

      Version

      はい

      ポリシーのバージョン。IMS の場合は値を 1 に設定します。

      Statement

      はい

      ステートメント。1 つのポリシーに複数のステートメントを含めることができます。各ステートメントには、Action、Resource、Effect、および Condition の各要素が含まれています。

      Action

      はい

      アクション。各アクションは API 操作に対応しています。ice:API 操作名 の形式で値を指定します。複数のアクションはコンマ (,) で区切ります。権限グループを設定するために複数のアクションを指定できます。使用可能なすべての API 操作の詳細については、「機能別の操作リスト」をご参照ください。

      Resource

      はい

      承認されたユーザーがアクセスできる IMS リソース。アスタリスク (*) はワイルドカードとして使用できます。acs:ice:<regionId>:<accountId>:* の形式で値を指定します。Resource パラメーターには複数の値を指定することもでき、これは複数のリソースを意味します。regionId フィールドはサポートされていません。 regionId フィールドを * に設定します。IMS はリソースを分類しません。メディアアセットに対する権限を付与する場合は、Resource パラメーターをアスタリスク (*) または acs:ice:*:*:* に設定することをお勧めします。

      Effect

      はい

      ステートメントの結果が明示的な許可か明示的な拒否かを指定します。有効な値:許可と拒否。システムはリクエストごとにステートメントを 1 つずつチェックします。一致するすべてのステートメントで Effect パラメーターの値が Allow の場合、リクエストは許可されます。一致するステートメントの 1 つで Effect パラメーターの値が Deny であるか、一致するステートメントがない場合、リクエストは拒否されます。

      重要

      ポリシーに Allow ステートメントと Deny ステートメントが含まれている場合、Deny ステートメントは Allow ステートメントよりも優先されます。

      Condition

      いいえ

      ポリシーのアクセス制御条件。詳細については、「ポリシー要素」トピックの「Condition」セクションをご参照ください。

    • すべての IMS リソースに対する読み取り専用権限の付与

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ice:Get*",
        "ice:List*",
        "ice:Search*",
        "ice:Describe*"
      ],
      "Resource": "acs:ice:*:*:*",
      "Effect": "Allow"
    }
  ]
}

    • 書き込み権限を含む IMS リソースに対するフル権限の付与

      {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ice:*",
      "Resource": "acs:ice:*:*:*"
    }
  ],
  "Version": "1"
}

    関連情報

    カスタムポリシーを作成する前に、ビジネスの権限制御要件を理解し、IMS の承認ルールについて学習する必要があります。詳細については、「RAM 認証」をご参照ください。