メニュー
AWS Identity and Access Management
ユーザーガイド

ポリシー概要内のアクセスレベルの概要について

ポリシー概要には、ポリシーに記載されている各サービスに対して定義されているアクションを説明するアクセスレベルの概要が含まれています。ポリシーの概要については、AWS マネジメントコンソール のポリシー概要を理解する を参照してください。アクセスレベル概要は、各アクセスレベル (ListReadWritePermissions management) のアクションに、ポリシーで定義されている Full アクセス権限があるか、Limited アクセス権限があるかを示します。特定のサービスの各アクションレベルに属するアクションのリストを表示するには、AWS IAM アクセスのレベルによってグループ化されたポリシーのアクション を参照してください。特定のサービスのアクションの完全なリストを表示するには、IAM ポリシーで使用できる AWS サービスアクションと条件コンテキストキー を参照してください。

以下の例では、特定のサービスのポリシーによって付与されるアクセス権限について説明しています。完全な JSON ポリシードキュメントおよび関連の概要の例については、ポリシー概要の例 を参照してください。

サービス アクセスレベル 本ポリシーの提供内容:
IAM フルアクセス IAM サービス内のすべてのアクションへのアクセス
CloudWatch フル: リスト List アクセスレベルのすべての CloudWatch アクションにアクセスできますが、ReadWrite、または Permissions management アクセスレベル分類によるアクションへのアクセスはできません
Data Pipeline 制限: リスト、読み込み List および Read アクセスレベルで、少なくとも 1 つの AWS Data Pipeline アクションにアクセスできますが、すべてにアクセスすることはできません。また、Write または Permissions management アクションにはアクセスできません。
EC2 フル: リスト、読み込み 制限: 書き込み すべての Amazon EC2 List および Read アクションにアクセスでき、さらに Amazon EC2 Write アクションの少なくとも 1 つのアクションにアクセスできますが、すべてにはできません。また Permissions management アクセスレベル分類のアクションにはアクセスできません
S3 フル: リスト、読み取る制限: 書き込み、アクセス権限管理 すべての Amazon S3 ListおよびReadアクションにアクセスでき、さらに少なくとも 1 つの Amazon S3 Write および Permissions managementアクションにアクセスできますがすべてのアクションにはアクセスできません。
codedploy (空) IAM によってこのサービスが認識されないため、不明なアクセスです。

前述のように、フルアクセスは、ポリシーによりサービス内のすべてのアクションに対するアクセス権限が付与されることを示します。サービス内の一部のアクションへアクセスを提供するポリシーは、アクセスレベルの分類に従ってさらにグループ化されます。これは、以下のアクセスレベルのグループ化の 1 つによって示されます。

  • フル: このポリシーは、指定されたアクセスレベル分類のすべてのアクションへのアクセスを提供します。

  • 制限: このポリシーは、指定されたアクセスレベル分類内の 1 つ以上のアクションへのアクセスを提供しますが、すべてのアクションへのアクセスは提供しません。

  • (空): IAM によってこのサービスは認識されません。サービス名にタイプミスが含まれる場合、ポリシーによってサービスへのアクセスは許可されません。サービス名が正しい場合、サービスがポリシー概要をサポートしていないか、プレビュー中である可能性があります。この場合は、ポリシーによってアクセスが許可される可能性がありますが、そのアクセスがポリシー概要に表示されることはありません。一般公開された (GA) サービスに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。

アクションへの部分アクセスを含むアクセスレベル概要は、以下のアクセスレベル分類を使用してグループ化されます。

  • リスト: オブジェクトが存在するかどうかを判断するためにサービス内のリソースをリストする権限。このレベルのアクセス権を持つアクションはオブジェクトをリストできますが、リソースのコンテンツは表示されません。たとえば、Amazon S3 アクションListBucketには、リストのアクセスレベルがあります。

  • 読み込み: サービス内のリソースのコンテンツと属性を読み取る権限。ただし、編集することはできません。たとえば、Amazon S3 アクション GetObject および GetBucketLocation には、読み取りアクセスレベルがあります。

  • 書き込み: サービス内のリソースを作成、削除、または変更する権限。たとえば、Amazon S3 アクション CreateBucketDeleteBucket および PutObject には、書き込みアクセスレベルがあります。

  • アクセス権限管理: サービスクラス内で リソースに対するアクセス許可を付与するか、または変更する権限。たとえば、IAM や AWS Organizations のほとんどのアクション、Amazon S3 のアクション PutBucketPolicy および DeleteBucketPolicy のようなアクションには、アクセス権限管理のアクセスレベルがあります。

    ヒント

    AWS アカウントのセキュリティを強化するには、アクセス権限管理のアクセスレベル分類を含むポリシーを制限したり定期的に監視します。