ポリシーでのリソースの指定

以下に、AWS のリソースを識別する Amazon リソース名（ARN）の一般的な形式を示します。

Copy
arn:partition:service:region:namespace:relative-id

Amazon S3 リソースの場合:

「aws」は共通のパーティション名です。リソースが中国 (北京) リージョンにある場合は、「aws-cn」がパーティションの名前となります。
「s3」はサービスです。
リージョンと名前空間は指定しません。
Amazon S3 では、bucket-name または bucket-name/object-key となります。ここでは、ワイルドカードを使用できます。

Amazon S3 リソースの ARN 形式は、以下のように短くなります。

Copy
arn:aws:s3:::bucket_name
arn:aws:s3:::bucket_name/key_name

次に、Amazon S3 リソースの ARN の例を示します。

この ARN は、examplebucket バケットの /developers/design_info.doc オブジェクトを指しています。
```
Copy
arn:aws:s3:::examplebucket/developers/design_info.doc
```
ARN の相対 ID の部分には、ワイルドカード文字の「*」を使用できます。以下の ARN は、「*」を使用して、examplebucket バケットのすべてのオブジェクトを指定しています。
```
Copy
arn:aws:s3:::examplebucket/*
```
次の ARN は、「*」を使用して、すべての Amazon S3 リソース（アカウント内のすべてのバケットとオブジェクト）を指定しています。
```
Copy
arn:aws:s3:::*
```
Amazon S3 ARN では、ポリシー変数を使用することもできます。あらかじめ定義されているこれらの変数は、ポリシーの評価時に対応する値で置き換えられます。たとえば、バケットが一連のフォルダで構成されており、各ユーザーのフォルダが 1 つずつある場合について考えましょう。各フォルダには、ユーザーと同じ名前が付けられています。各ユーザーに自分のフォルダに対するアクセス許可を付与するには、リソース ARN で以下のようにポリシー変数を指定します。
```
Copy
arn:aws:s3:::bucket_name/developers/${aws:username}/
```
実行時にポリシーが評価されると、リソース ARN の変数 ${aws:username} には、リクエストを行うユーザーの名前が挿入されます。

詳細については、以下のリソースを参照してください。

『IAM ユーザーガイド』の「リソース」
『IAM ユーザーガイド』の「ポリシー変数」
『AWS General Reference』の「ARN」

アクセスポリシー言語の他のエレメントについては、「アクセスポリシー言語の概要」を参照してください。

ドキュメントの表記規則

« 前次 »