API Gateway のリソースポリシーで IAM ロールを指定することができるかどうかについて教えてください

困っていた内容

API Gateway のリソースポリシーで特定の IAM ロールからのアクセスに制限したいと考えています。
しかし、AWS 公式ドキュメントには、IAM ロールに関する記載がないため、IAM ロールを指定することができるかどうかわかりませんでした。

• プリンシパル – ステートメントのアクションやリソースへのアクセスが許可されているアカウントまたはユーザーを指します。リソースポリシーでは、プリンシパルは、このアクセス許可の被付与者である IAM ユーザーまたはアカウントを指します。

API Gateway のリソースポリシーで IAM ロールを指定することができるかどうかについて教えてください。

どう対応すればいいの？

API Gateway のリソースポリシーで IAM ロールを指定することは可能です。

ただし、プリンシパルに IAM ロールを指定する場合は、メソッドリクエストの認可に AWS IAM を指定し、API へのリクエストに署名を行う必要があります。

参考資料

• Amazon API Gateway のアクセスポリシー言語の概要 - Amazon API Gateway
• IAM アクセス許可により API へのアクセスを制御する - Amazon API Gateway
• API Gateway リソースポリシーが認証ワークフローに与える影響 - Amazon API Gateway
• AWS API リクエストの署名 - AWS 全般のリファレンス