メニュー
AWS Identity and Access Management
ユーザーガイド

IAM と連携する AWS サービス

多くの AWS サービスは AWS Identity and Access Management と連携します。以下の表では、これらのサービスをカテゴリ別にまとめ、各サービスがサポートする IAM アクセス権限タイプ、サービスへのアクセスを管理するためのポリシーの記述に役立つヒント、関連情報へのリンクを示しています。

各表に表示される項目は以下の通りです。

  • アクションレベルのアクセス許可。サービスは、ポリシーの Action エレメントでの個別のアクションの指定をサポートします。サービスがアクションレベルのアクセス権限をサポートしていない場合、サービスのポリシーは Action 要素で * を使用します。IAM ポリシーで使用できる AWS サービスのすべての権限のリストは、「IAM ポリシーで使用できる AWS サービスアクションと条件コンテキストキー」を参照してください。

  • リソースレベルのアクセス許可。サービスには、ポリシーの Resource 要素での個別のリソースの指定 (ARN を使用) をサポートする 1 つ以上の API があります。API がリソースレベルのアクセス権限をサポートしない場合、ポリシーのそのステートメントは Resource 要素で * を使用する必要があります。詳細については、各テーブルの脚注を参照してください。

  • リソースベースのアクセス許可。このサービスにより、リソースベースのポリシーをサービスのリソースにアタッチすることができます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する Principal 要素が含まれます。ID ベース (IAM) 権限は異なります。それらはユーザー、グループ、またはロールにアタッチされ、ID によってアクセスできるリソースを指定する Resource 要素が含まれます。詳細については、「ID ベース(IAM)のアクセス権限およびリソースベースのアクセス権限」を参照してください。

  • タグベースのアクセス許可。サービスは、Condition エレメント リソースタグのテストをサポートします。

  • 一時的セキュリティ認証情報. このサービスにより、ユーザーは AssumeRole または GetFederationToken などの AWS STS API を呼び出して取得した一時的なセキュリティ認証情報を使用してリクエストを作成できます。一時的な認証情報は、一般にはフェデレーションシナリオで使用されます。詳細については、「一時的セキュリティ認証情報」を参照してください。

  • サービスにリンクされたロール。サービスでは、サービスに直接リンクされた一意のタイプのサービスロールを使用する必要があります。このサービスにリンクされたロールはサービスによって事前に定義され、サービスで必要なすべてのアクセス権限が含まれます。アクセス権限をサービスに委任するために使用されるロールを作成する方法については、「AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

  • 詳細情報。製品のドキュメントの詳細情報へのリンク。

コンピューティングサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon Elastic Compute Cloud(Amazon EC2) Yes Yes¹ No はい¹ Yes No
Amazon EC2 Container Registry (Amazon ECR) Yes Yes No Yes No
Amazon EC2 Container Service (Amazon ECS) Yes Yes² No No Yes No
AWS Elastic Beanstalk Yes Yes³ No No Yes No
AWS Lambda Yes Yes Yes⁴ No Yes No
Amazon Lightsail Yes No No No Yes No
Auto Scaling Yes Yes No No Yes No
Elastic Load Balancing Yes Yes⁵ No No Yes No

¹ Amazon EC2 は、一部の API に対してのみリソースレベルのアクセス権限とタグをサポートします。詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 API アクションでサポートされるリソースと条件」を参照してください。

² Amazon ECS は、一部の API に対してのみリソースレベルのアクセス権限をサポートします。詳細については、『Amazon EC2 Container Service Developer Guide』の「Amazon ECS API アクションでサポートされるリソースレベルのアクセス権限」を参照してください。

³ 特定のリソースに対するアクセス権限として使用できるのは、Elastic Beanstalk の一部の API アクションのみです。詳細については、『AWS Elastic Beanstalk 開発者ガイド』の「Elastic Beanstalk アクションのリソースと条件」を参照してください。

⁴ リソースベースのポリシーで特定できる唯一の AWS Lambda API アクションは lambda:InvokeFunction です。詳細については、AWS Lambda Developer Guideの「AWS Lambda でリソースベースのポリシーを使用する (Lambda 関数ポリシー)」を参照してください。

⁵ 特定のリソースに対するアクセス権限として使用できるのは、Elastic Load Balancing の一部の API アクションのみです。詳細については、Elastic Load Balancing ユーザーガイド にある「ロードバランサーへのアクセスを制御する」を参照してください。

ストレージとコンテンツ配信サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon Simple Storage Service (Amazon S3) Yes Yes Yes Yes Yes No
Amazon Elastic Block Store(Amazon EBS) Yes Yes¹ No はい Yes No
Amazon EFS Yes Yes No No Yes No
Amazon Glacier Yes Yes Yes Yes Yes No
AWS Snowball および AWS Snowball Edge Yes No No No Yes No
AWS Storage Gateway Yes Yes No No Yes No

¹ リソースレベルのアクセス権限をサポートする EBS アクションの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Amazon EC2 API アクションでサポートされるリソースと条件」を参照してください。

データベースサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon Relational Database Service (Amazon RDS) Yes Yes No Yes Yes No
Amazon DynamoDB Yes Yes No No Yes No
Amazon ElastiCache Yes No No No Yes No
Amazon Redshift Yes Yes No No Yes No
Amazon SimpleDB Yes Yes No No Yes No

ネットワーキングとコンテンツ配信サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon Virtual Private Cloud (Amazon VPC) Yes はい¹ Yes² Yes Yes No

Amazon CloudFront

はい³ No No No Yes No
AWS Direct Connect Yes No No No Yes No
Amazon Route 53 Yes Yes No No Yes No

¹ IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス権限を制限することはできません。ec2:*VpcEndpoint* または ec2:DescribePrefixLists API アクションを含むいずれの Action エレメントにも、""Resource": "*"" を指定する必要があります。詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントの使用の管理」を参照してください。

²Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスを制御する方法の詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントポリシーの使用」を参照してください。

³ CloudFront では、CloudFront キーペアを作成するためのアクションレベルのアクセス権限がサポートされていません。CloudFront キーペアを作成するには、AWS アカウントのルートユーザーを使用する必要があります。詳細については、Amazon CloudFront 開発者ガイドの「信頼された署名者の CloudFront キーペアを作成する」を参照してください。

移行サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
AWS Import/Export Yes No No No Yes No

開発者用ツールおよびサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
AWS CodeCommit Yes Yes No No Yes No
AWS CodeBuild Yes Yes No No Yes No
AWS CodeDeploy Yes Yes No No Yes No
AWS CodePipeline Yes Yes¹ No No Yes No
AWS CodeStar Yes Yes¹ No No No No

¹ 特定のリソースに対する権限として使用できるのは、AWS CodePipeline の一部の API アクションのみです。詳細については、『AWS CodePipeline ユーザーガイド』の「AWS CodePipeline リソースおよびオペレーション」を参照してください。

管理ツールおよびサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon CloudWatch Yes No No No Yes No
Amazon CloudWatch Events Yes Yes No No Yes No
Amazon CloudWatch Logs Yes Yes No No Yes No
AWS CloudFormation Yes Yes No No Yes No
AWS CloudTrail Yes Yes No No Yes No
AWS Config Yes No No No Yes No
AWS OpsWorks for Chef Automate Yes Yes Yes No Yes No
AWS OpsWorks Yes Yes Yes No Yes No
AWS Service Catalog Yes No No No Yes No
AWS Trusted Advisor はい¹ Yes No No はい¹ No
AWS Health Yes No No No Yes No

¹ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによって制御されます。

セキュリティ、アイデンティティ、およびコンプライアンスサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
AWS Artifact Yes はい No No Yes No
AWS Certificate Manager(ACM) Yes Yes No No Yes No
AWS CloudHSM Yes No No No No No
AWS Directory Service Yes No No No Yes No
AWS Identity and Access Management (IAM) Yes Yes No No はい¹ No
Amazon Inspector Yes No No No はい¹ No
AWS Key Management Service(AWS KMS) Yes Yes Yes No Yes No
AWS Organizations Yes Yes No No Yes No
AWS Shield アドバンスド Yes No No No Yes No
AWS Security Token Service(AWS STS) Yes Yes² No No Yes² No
AWS WAF Yes Yes No No Yes No

¹ 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、API オプションの比較を参照してください。

² AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、一時的なセキュリティ認証情報のアクセスを名前で拒否するを参照してください。AWS STS の一部の API のみが一時的な認証情報を使用した呼び出しをサポートしています。詳細については、API オプションの比較を参照してください

分析サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon EMR Yes No No Yes Yes No
Amazon CloudSearch Yes Yes No No Yes No
Amazon Elasticsearch Service Yes Yes Yes No Yes No
Amazon Kinesis Streams Yes Yes No No Yes No
Amazon Kinesis Analytics Yes Yes No No Yes No
Amazon Kinesis Firehose Yes Yes No No Yes No
AWS Data Pipeline Yes No No Yes Yes No

人工知能

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon Lex Yes Yes No No Yes Yes
Amazon Machine Learning Yes Yes No No Yes No
Amazon Polly Yes Yes No No Yes No

IoT

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
AWS IoT Yes¹ Yes² はい³ No Yes No

¹ AWS IoT アクションレベルのアクセス権限の詳細については、『AWS IoT ユーザーガイド』の「AWS IoT ポリシーアクション」を参照してください。

² リソースレベルのアクセス権限をサポートしている AWS IoT アクションと、それぞれに指定できるリソースの詳細については、『AWS IoT 開発者ガイド』の「アクションリソース」を参照してください。

³ AWS IoT に接続されたデバイスは、X.509 証明書を使って認証されます。X.509 証明書に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、『AWS IoT 開発者ガイド』の「AWS IoT ポリシーの作成」を参照してください。

ゲーム開発サービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon GameLift Yes No No No Yes No

モバイルサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon Cognito Yes Yes No No Yes No
AWS Device Farm Yes No No No Yes No
Amazon Mobile Analytics Yes No No No Yes No
Amazon Pinpoint Yes Yes No No Yes No

アプリケーションサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon API Gateway Yes Yes No No Yes No
Amazon Elastic Transcoder Yes Yes No No Yes No
Amazon Simple Workflow Service(Amazon SWF) Yes Yes No Yes Yes No

メッセージングサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon Simple Notification Service(Amazon SNS) Yes Yes Yes No Yes No
Amazon Simple Email Service (Amazon SES) Yes はい¹ No No Yes² No
Amazon Simple Queue Service(Amazon SQS) Yes Yes Yes No Yes No

¹ Amazon SES は特定の SES ID にアクセスする権限を送信者に委任するポリシーで、リソースレベルのアクセス権限をサポートします。

² 一時的なセキュリティ認証情報をサポートしているのは、Amazon SES API だけです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。

ビジネスの生産性

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon WorkDocs Yes No No No Yes No
Amazon WorkMail Yes No No No Yes No

デスクトップとアプリのストリーミングサービス

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
Amazon WorkSpaces Yes Yes No No Yes No
Amazon WAM Yes No No No Yes No
Amazon AppStream Yes No No No Yes No
Amazon AppStream 2.0 Yes No No No Yes No

その他のリソース

 

サービスおよび関連する IAM 情報
次のアクセス権限をサポートします
アクションレベル リソースレベル リソースベース タグベース 一時認証情報 サービスにリンクされたロール
AWS Billing and Cost Management Yes No No No Yes No
AWS Marketplace Yes Yes No No Yes No
AWS サポート No No No No Yes No
AWS Trusted Advisor はい¹ Yes No No はい¹ No