メニュー
AWS Identity and Access Management
ユーザーガイド

IAM と連携する AWS サービス

多くの AWS サービスは AWS Identity and Access Management と連携します。以下の表では、これらのサービスをカテゴリ別にまとめ、各サービスがサポートする IAM アクセス許可タイプ、サービスへのアクセスを管理するためのポリシーの記述に役立つヒント、関連情報へのリンクを示しています。

各表に表示される項目は以下の通りです。

  • アクションレベルのアクセス許可。サービスは、ポリシーの Action エレメントでの個別のアクションの指定をサポートします。サービスがアクションレベルのアクセス権限をサポートしていない場合、サービスのポリシーは Action 要素で * を使用します。IAM ポリシーで使用できる AWS サービスのすべての権限のリストは、「IAM ポリシーで使用できる AWS サービスアクションと条件コンテキストキー」を参照してください。

  • リソースレベルのアクセス許可。サービスには、ポリシーの Resource 要素での個別のリソースの指定 (ARN を使用) をサポートする 1 つ以上の API があります。API がリソースレベルのアクセス権限をサポートしない場合、ポリシーのそのステートメントは Resource 要素で * を使用する必要があります。詳細については、各テーブルの脚注を参照してください。

  • リソースベースのアクセス許可。サービスを使用すると、IAM ユーザー、グループ、ロールに加えて、サービスのリソースにもポリシーをアタッチすることができます。ポリシーは、Principal を含めることにより、リソースにアクセスできるユーザーを指定します。

  • タグベースのアクセス許可。サービスは、Condition エレメント リソースタグのテストをサポートします。

  • 一時的セキュリティ認証情報. このサービスにより、ユーザーは AssumeRole または GetFederationToken などの AWS STS API を呼び出して取得した一時的なセキュリティ認証情報を使用してリクエストを作成できます。一時的な認証情報は、一般にはフェデレーションシナリオで使用されます。詳細については、「一時的セキュリティ認証情報」を参照してください。

  • 詳細情報。製品のドキュメントの詳細情報へのリンク。

コンピューティングサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon Elastic Compute Cloud(Amazon EC2) Yes Yes¹ No はい¹ Yes
Amazon EC2 Container Registry (Amazon ECR) Yes Yes No Yes
Amazon EC2 Container Service (Amazon ECS) Yes Yes² No No Yes
AWS Elastic Beanstalk Yes Yes³ No No Yes
AWS Lambda Yes Yes Yes⁴ No Yes
Auto Scaling Yes No No No Yes
Elastic Load Balancing Yes Yes⁵ No No Yes

¹ Amazon EC2 は、一部の API に対してのみリソースレベルのアクセス権限とタグをサポートします。詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 API アクションでサポートされるリソースと条件」を参照してください。

² Amazon ECS は、一部の API に対してのみリソースレベルのアクセス権限をサポートします。詳細については、『Amazon EC2 Container Service Developer Guide』の「Amazon ECS API アクションでサポートされるリソースレベルのアクセス権限」を参照してください。

³ 特定のリソースに対するアクセス権限として使用できるのは、Elastic Beanstalk の一部の API アクションのみです。詳細については、『AWS Elastic Beanstalk 開発者ガイド』の「Elastic Beanstalk アクションのリソースと条件」を参照してください。

⁴ リソースベースのポリシーで特定できる唯一の AWS Lambda API アクションは lambda:InvokeFunction です。詳細については、AWS Lambda Developer Guideの「AWS Lambda でリソースベースのポリシーを使用する (Lambda 関数ポリシー)」を参照してください。

⁵ 特定のリソースに対するアクセス権限として使用できるのは、Elastic Load Balancing の一部の API アクションのみです。詳細については、Elastic Load Balancing ユーザーガイド にある「ロードバランサーへのアクセスを制御する」を参照してください。

ストレージとコンテンツ配信サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon Simple Storage Service(Amazon S3) Yes Yes Yes Yes Yes
Amazon Elastic Block Store(Amazon EBS) Yes Yes¹ No はい Yes
Amazon EFS Yes Yes No No Yes
Amazon Glacier Yes Yes Yes Yes Yes
AWS Snowball および AWS Snowball Edge Yes No No No Yes
AWS Storage Gateway Yes Yes No No Yes

¹ リソースレベルのアクセス権限をサポートする EBS アクションの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Amazon EC2 API アクションでサポートされるリソースと条件」を参照してください。

データベースサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon Relational Database Service (Amazon RDS) Yes Yes No Yes Yes
Amazon DynamoDB Yes Yes No No Yes
Amazon ElastiCache Yes No No No Yes
Amazon Redshift Yes Yes No No Yes
Amazon SimpleDB Yes Yes No No Yes

ネットワーキングとコンテンツ配信サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon Virtual Private Cloud (Amazon VPC) Yes はい¹ Yes² Yes Yes

Amazon CloudFront

はい³ No No No Yes
AWS Direct Connect Yes No No No Yes
Amazon Route 53 Yes Yes No No Yes

¹ IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス権限を制限することはできません。ec2:*VpcEndpoint* または ec2:DescribePrefixLists API アクションを含むいずれの Action エレメントにも、""Resource": "*"" を指定する必要があります。詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントの使用の管理」を参照してください。

²Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスを制御する方法の詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントポリシーの使用」を参照してください。

³ CloudFront では、CloudFront キーペアを作成するためのアクションレベルのアクセス権限がサポートされていません。CloudFront キーペアを作成するには、AWS のルートアカウントを使用する必要があります。詳細については、Amazon CloudFront 開発者ガイドの「信頼された署名者の CloudFront キーペアを作成する」を参照してください。

移行サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
AWS Import/Export Yes No No No Yes

開発者用ツールおよびサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
AWS CodeCommit Yes Yes No No Yes
AWS CodeBuild Yes Yes No No Yes
AWS CodeDeploy Yes Yes No No Yes
AWS CodePipeline Yes Yes¹ No No Yes

¹ 特定のリソースに対する権限として使用できるのは、AWS CodePipeline の一部の API アクションのみです。詳細については、AWS CodePipeline ユーザーガイドの「AWS CodePipeline アクセス許可リファレンス」を参照してください。

管理ツールおよびサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon CloudWatch Yes No No No Yes
Amazon CloudWatch Events Yes Yes No No Yes
Amazon CloudWatch Logs Yes Yes No No Yes
AWS CloudFormation Yes Yes No No Yes
AWS CloudTrail Yes Yes No No Yes
AWS Config Yes No No No Yes
AWS OpsWorks Yes Yes Yes No Yes
AWS Service Catalog Yes Yes No No Yes
AWS Trusted Advisor Yes Yes No No Yes
AWS Health Yes No No No Yes

セキュリティ、アイデンティティ、およびコンプライアンスサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
AWS Identity and Access Management (IAM) Yes Yes No No はい¹
AWS Security Token Service(AWS STS) Yes Yes² No No Yes²
AWS Organizations Yes Yes No No Yes
AWS Artifact Yes はい No No Yes
AWS Certificate Manager(ACM) Yes Yes No No Yes
AWS Directory Service Yes No No No Yes
AWS CloudHSM Yes No No No No
AWS Key Management Service(AWS KMS) Yes Yes Yes No Yes
AWS WAF Yes Yes No No Yes

¹ 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、API オプションの比較を参照してください。

² AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、一時的なセキュリティ認証情報のアクセスを名前で拒否するを参照してください。AWS STS の一部の API のみが一時的な認証情報を使用した呼び出しをサポートしています。詳細については、API オプションの比較を参照してください

分析サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon EMR Yes No No Yes Yes
Amazon CloudSearch Yes Yes No No Yes
Amazon Elasticsearch Service Yes Yes Yes No Yes
Amazon Kinesis Yes Yes No No Yes
Amazon Kinesis Analytics Yes Yes No No Yes
AWS Data Pipeline Yes Yes No Yes Yes

人工知能

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon Polly Yes Yes No No Yes
Amazon Machine Learning Yes Yes No No Yes

IoT

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
AWS IoT Yes¹ Yes² はい³ No Yes

¹ AWS IoT アクションレベルのアクセス権限の詳細については、『AWS IoT ユーザーガイド』の「AWS IoT ポリシーアクション」を参照してください。

² リソースレベルのアクセス権限をサポートしている AWS IoT アクションと、それぞれに指定できるリソースの詳細については、『AWS IoT 開発者ガイド』の「アクションリソース」を参照してください。

³ AWS IoT に接続されたデバイスは、X.509 証明書を使って認証されます。X.509 証明書に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、『AWS IoT 開発者ガイド』の「AWS IoT ポリシーの作成」を参照してください。

ゲーム開発サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon GameLift Yes No No No Yes

モバイルサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon Cognito Yes Yes No No Yes
AWS Device Farm Yes No No No Yes
Amazon Mobile Analytics Yes No No No Yes
Amazon Pinpoint Yes Yes No No Yes

アプリケーションサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon API Gateway Yes Yes No No Yes
Amazon Elastic Transcoder Yes Yes No No Yes
Amazon Simple Workflow Service(Amazon SWF) Yes Yes No Yes Yes

メッセージングサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon Simple Notification Service(Amazon SNS) Yes Yes Yes No Yes
Amazon Simple Email Service (Amazon SES) Yes はい¹ No No Yes²
Amazon Simple Queue Service(Amazon SQS) Yes Yes Yes No Yes

¹ Amazon SES は特定の SES ID にアクセスする権限を送信者に委任するポリシーで、リソースレベルのアクセス権限をサポートします。

² 一時的なセキュリティ認証情報をサポートしているのは、Amazon SES API だけです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。

ビジネスの生産性

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon WorkDocs Yes No No No Yes
Amazon WorkMail Yes No No No Yes

デスクトップとアプリのストリーミングサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
Amazon WorkSpaces Yes Yes No No Yes
Amazon WAM Yes No No No Yes
Amazon AppStream Yes No No No Yes
Amazon AppStream 2.0 Yes No No No Yes

その他のリソース

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報
AWS Billing and Cost Management Yes No No No Yes
AWS Marketplace Yes Yes No No Yes
AWS サポート No No No No Yes
AWS Trusted Advisor はい¹ Yes No No はい¹

¹ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによって制御されます。