GSI とは

GS2のサービスを利用するにはまずGSIを取得する必要があります。
GSI とは GS2-Identifier の略称で、サービスの利用の認証・認可処理を実装するクレデンシャルです。

GSI は以下のようなデータ構造で記録されています。

+ User
  + GSI
    - アクセスキー
    - シークレットキー
  + SecurityPolicy
    - 利用できるAPIリスト
    - アクセスできるリソースリスト
    - アクセスできるサービスリスト

ユーザが存在し、ユーザはGSIとアクセスポリシーを持ちます。
GSIでの認証が成立すると、ユーザの持つ SecurityPolicy に基づいた認可処理が行われることになります。

アクセスキーやシークレットキーの新規作成は マネージメントコンソール の GS2-Identifier より行えます。
新しく作成した GSI には何もポリシーが設定されていませんので、ポリシーを設定する必要があります。

ポリシーは既に用意されたプリセットから選択する方法と、新しく自分でポリシーを定義して利用する方法の2種類が存在します。
いずれも、ユーザに対して最大10個までポリシーを設定することができ、複数のポリシーを設定した場合は or で評価されます。

自分でポリシーを設定する場合はJSON形式のポリシーを定義する必要があります。おおむねAWSのポリシー定義に似せて設計されていますが、
AWSのポリシーよりもやや柔軟性に欠けます。たとえば、Action のワイルドカードは末尾に1か所しか利用できない。といった制約が存在します。

詳しい内容は セキュリティポリシー を参照してください。

GSI を実際に発行する手順は GSI の発行手順 を参照してください。
サブページ (1): GSI の発行手順