メニュー
AWS Identity and Access Management
ユーザーガイド

サービス概要 (アクションのリスト)

ポリシーは、ポリシー概要、サービス概要、アクション概要の 3 つのテーブルにまとめられています。サービス概要テーブルには、選択したサービスのポリシーによって定義されているアクションとアクセス権限の概要のリストが含まれます。

 3 つのテーブルとそれらの関係を示すポリシー概要の図

アクセス許可を付与するポリシー概要に示されている各サービスの概要を表示できます。テーブルは、[Uncategorized actions]、[Uncategorized resource types]、およびアクセスレベルのセクションにグループ化されます。IAM によって認識されないアクションがポリシーに含まれる場合、そのアクションはテーブルの [Uncategorized actions] セクションに含まれます。IAM によって認識されるアクションがポリシーに含まれる場合、そのアクションはテーブルのいずれかのアクセスレベル (ListReadWritePermissions management) のセクションに含まれます。特定のサービスの各アクションレベルに属するアクションのリストを表示するには、IAM アクセスのレベルによってグループ化されたポリシーのアクション を参照してください。特定のサービスのアクションの完全なリストを表示するには、IAM ポリシーで使用できる AWS サービスアクションと条件コンテキストキー を参照してください。

サービス概要の表示

[Policies] ページで管理ポリシーのサービス概要を表示したり、[Users] ページや [Roles] ページでユーザーやロールにアタッチされたインラインおよび管理ポリシーのサービス概要を表示したりできます。ただし、管理ポリシーの [Users] ページまたは [Roles] ページでサービス名を選択した場合、[Policies] ページにリダイレクトされます。管理ポリシーのサービス概要は [Policies] ページに表示されます。

管理ポリシーのサービス概要を表示するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Policies] を選択します。

  3. ポリシーの一覧で、表示するポリシーの名前を選択します。

  4. ポリシーの [Summary] ページの [Permissions] タブを表示して、ポリシー概要を確認します。

  5. サービスのポリシー概要のリストで、表示するサービス名を選択します。

ユーザーにアタッチされたポリシーの概要を表示するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. ユーザーのリストから、ポリシーを表示するユーザーを選択します。

  4. ユーザーの [Summary] ページの [Permissions] タブから、ユーザーに直接またはグループのユーザーにアタッチされているポリシーのリストを表示します。

  5. ユーザーのポリシーのテーブルで、表示するポリシーの行を展開します。

  6. サービスのポリシー概要のリストで、表示するサービス名を選択します。

    注記

    選択したポリシーがユーザーに直接アタッチされているインラインポリシーの場合、サービス概要テーブルが表示されます。ポリシーがグループからアタッチされたインラインポリシーの場合、そのグループの JSON ポリシードキュメントに移動します。ポリシーが管理ポリシーの場合、そのポリシーのサービス概要が、ポリシーページに表示されます。

ロールにアタッチされたポリシーのサービス概要を表示するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Roles] を選択します。

  3. ロールのリストから、表示するポリシーを含むロールの名前を選択します。

  4. ロールの [Summary] ページの [Permissions] タブから、ロールにアタッチされているポリシーのリストを表示します。

  5. ロールのポリシーのテーブルで、表示するポリシーの行を展開します。

  6. サービスのポリシー概要のリストで、表示するサービス名を選択します。

サービス概要の要素について

以下の例は、SummaryAllElements ポリシーの概要から許可されている Amazon S3 アクションのサービス概要です (SummaryAllElements JSON ポリシードキュメント を参照)。このサービスのアクションは、[Uncategorized actions]、[Uncategorized resource types]、およびアクセスレベルのセクションにグループ化されます。たとえば、サービスで利用可能な合計 29 の書き込みアクションの中から、2 つの書き込みアクションが定義されています。

 サービス概要のダイアログイメージ

管理ポリシーのサービス概要ページには、以下の情報が含まれます。

  1. ポリシーのサービスに定義されているすべてのアクション、リソース、条件に対し、ポリシーでアクセス許可が付与されない場合、警告バナーがページの上部に表示されます。すると、問題に関する詳細がサービス概要に含まれます。ポリシーで付与されるアクセス許可について理解し、問題の解決にポリシー概要をどのように役立てるかについては、「使用するポリシーが予期するアクセス許可を付与しない」を参照してください。

  2. 戻るリンクの隣に、サービスの名前が表示されます (この場合はS3)。 このサービスの概要には、ポリシーで定義されている許可されたアクションのリストが含まれています。代わりに、テキスト (明示的に拒否) がサービスの名前の横に表示される場合、サービス概要テーブルにリストされているアクションは明示的に拒否されます。

  3. { } JSON を選択すると、ポリシーに関する追加の詳細が表示されます。この操作により、アクションに適用されるすべての条件を表示できます。(ユーザーに直接アタッチされているインラインポリシーのサービス概要を表示している場合は、サービス概要ダイアログボックスを閉じてポリシー概要に戻り、JSON ポリシードキュメントにアクセスする必要があります。)

  4. 特定のアクションの概要を表示するには、キーワードを検索ボックスに入力して、使用可能なアクションのリストを減らします。

  5. Action (2 of 69 actions) – この列には、ポリシー内で定義されたアクションがリストされ、各アクションのリソースと条件が示されます。ポリシーでアクションにアクセス許可が付与されると、アクション名がアクション概要テーブルにリンクされます。カウントは、アクセス権限を付与する認識されたアクションの数を示します。合計は、サービスの既知のアクションの数です。この例では、合計 69 個の既知の S3 アクションのうちの 2 つのアクションがアクセス権限を付与します。

  6. Show/Hide remaining 67 – このリンクをクリックするとテーブルが展開されるか非表示になり、このサービスで既知ではあるがアクセス許可を指定しないアクションが表示されます。リンクを展開すると、アクセス許可を指定しないすべての要素の警告も表示されます。

  7. Unrecognized resource types – このポリシーには、このサービスのポリシー内に 1 つ以上の認識されないリソースタイプが含まれます。この警告を使用して、リソースタイプにタイプミスが含まれている可能性があるかどうかを確認できます。リソースタイプが正しい場合、サービスはポリシー概要を一部サポートしていないか、プレビュー中であるか、カスタムサービスである可能性があります。一般公開された (GA) サービスの特定のリソースタイプに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。この例では、autoscling サービス名で a が欠落しています。

  8. Unrecognized actions – このポリシーには、このサービスのポリシー内で認識されない 1 つ以上のアクションが含まれます。この警告を使用して、アクションにタイプミスが含まれている可能性があるかどうかを確認できます。アクション名が正しい場合、サービスはポリシー概要を一部サポートしていないか、プレビュー中であるか、カスタムサービスである可能性があります。一般公開された (GA) サービスの特定のアクションに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。この例で、DeletObject アクションでは e が欠落しています。

    注記

    IAM によって、ポリシー概要をサポートするサービスの名前、アクション、リソースタイプが確認されます。ただし、ポリシー概要には、存在しないリソース値または条件が含まれる可能性があります。必ず Policy Simulator でポリシーをテストしてください。

  9. このテーブルでは、IAM によって認識されるそれらのアクションが、ポリシーによるアクセスレベル (許可または拒否) に応じて、1 ~ 4 つのセクションに分類されます。それらのセクションは [List]、[Read]、[Write]、[Permissions management] です。各アクセスレベル内で実行可能な操作の総数から定義されたオペレーションの数を表示できます。どのアクションが AWS サービスの各アクションレベルに属しているかについては、IAM アクセスのレベルによってグループ化されたポリシーのアクション を参照してください。特定のサービスのアクションの完全なリストを表示するには、IAM ポリシーで使用できる AWS サービスアクションと条件コンテキストキー を参照してください。

  10. 省略符号 (…) は、ページ内にすべてのアクションが含まれていますが、このポリシーに関連した情報のある行のみが表示されていることを示します。このページを AWS マネジメントコンソール に表示すると、サービスのすべてのアクションを確認できます。

  11. (No access) – このポリシーにはアクセス許可が指定されないアクションが含まれています。

  12. アクセス許可が指定されるアクションには、アクション概要へのリンクが含まれます。

  13. Resource – この列には、ポリシーによってサービスに対して定義されているリソースが表示されます。IAM では、リソースが各アクションに適用されるかどうかは確認されません。この例では、S3 サービスのアクションは developer_bucket Amazon S3 バケットリソースに対してのみ許可されます。サービスから IAM に渡される情報に応じて、arn:aws:s3:::developer_bucket/* などの ARN が表示されるか、BucketName = developer_bucket などの定義されたリソースタイプが表示される場合があります。

    注記

    この列には、別のサービスのリソースが含まれることがあります。リソースを含むポリシーステートメントで、アクションとリソースの両方がサービスに一致しない場合、ポリシーには不一致のリソースが含まれます。ポリシーを作成するときや、サービス概要でポリシーを表示するとき、IAM では不一致のリソースについて警告されません。IAM では、アクションがリソースに適用されるかどうかではなく、サービスに一致するかどうかのみが示されます。この列に不一致のリソースが含まれる場合は、ポリシーのエラーを確認する必要があります。ポリシーをより深く理解するために、必ず Policy Simulator でテストしてください。

  14. Resource warning – フルアクセスが指定されないリソースに対するアクションについては、次のいずれかの警告が表示されます。

    • このアクションでは、リソースレベルのアクセス許可はサポートされません。これにはリソース用のワイルドカード (*) が必要です。 – これは、ポリシーにはリソースレベルのアクセス許可が含まれているが、このアクションに対するアクセス許可を指定するには、"Resource": ["*"] を含める必要があることを意味しています。

    • このアクションに該当するリソースがありません。 – これは、ポリシーに含まれているアクションにサポートされたリソースがないことを意味しています。

    • このアクションには、該当するリソースと条件がありません。 – これは、ポリシーに含まれているアクションにサポートされたリソースおよび条件がないことを意味しています。この場合、このサービスのポリシーに条件は含まれていますが、このアクションに適用される条件はありません。

    ListAllMyBuckets アクションの場合、このポリシーには最後の警告が含まれます。アクションがリソースレベルのアクセス許可をサポートせず、s3:x-amz-acl 条件キーをサポートしていないためです。リソースまたは条件に関する問題が解決すると、残りの問題が警告の詳細に表示されます。

  15. リクエストの状態 – この列は、リソースに関連付けられたアクションが条件の対象かどうかを示します。これらの条件の詳細については、[{ } JSON] を選択して JSON ポリシードキュメントを確認してください。

  16. Condition warning – フルアクセスが指定されない条件に対するアクションについては、次のいずれかの警告が表示されます。

    • <CONDITION_KEY> はこのアクションに対してサポートされている条件キーではありません。 – これは、このアクションをサポートしていないサービスの条件キーがポリシーに含まれていることを意味します。

    • このアクションには複数の条件キーはサポートされていません。 – これは、このアクションをサポートしていないサービスの 1 つ以上の条件キーがポリシーに含まれていることを意味します。

    GetObject の場合、このアクションでは使用できない s3:x-amz-acl 条件キーがこのポリシーに含まれています。アクションはリソースをサポートしていますが、このアクションに対して条件が有効になることがないため、ポリシーはこのアクションにアクセス許可を付与しません。