AWS Identity and Access Management
ユーザーガイド

アクション概要 (リソースのリスト)

ポリシーは、ポリシー概要サービス概要、アクション概要の 3 つのテーブルにまとめられています。アクション概要テーブルには、選択したアクションに対して適用されているリソースとその関連する条件のリストが含まれます。


      3 つのテーブルとそれらの関係を示すポリシー概要の図

アクセス許可が付与されるアクションごとにアクション概要を表示するには、サービス概要のリンクをクリックしてください。アクション概要テーブルには [Region (リージョン)] や [Account (アカウント)] など、リソースに関する詳細が表示されます。各リソースに適用される条件を表示することもできます。これにより、一部のリソースに適用されて他のリソースには適用されない条件が表示されます。

アクション概要の表示

[ユーザー] ページで、ユーザーにアタッチされているポリシーのアクション概要を表示できます。[ロール] ページで、ロールにアタッチされているポリシーのアクション概要を表示できます。[ポリシー] ページで、管理ポリシーのアクション概要を表示できます。ただし、[ユーザー] ページまたは [ロール] ページから管理ポリシーのアクション概要を表示しようとすると、[ポリシー] ページにリダイレクトされます。

管理ポリシーのアクション概要を表示するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーの一覧で、表示するポリシーの名前を選択します。

  4. ポリシーの [Summary (概要)] ページの [Permissions (アクセス許可)] タブを表示して、ポリシー概要を確認します。

  5. サービスのポリシー概要のリストで、表示するサービス名を選択します。

  6. アクションのサービス概要リストで、表示するアクション名を選択します。

ユーザーにアタッチされたポリシーのアクション概要を表示するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択します。

  3. ユーザーのリストから、ポリシーを表示するユーザーを選択します。

  4. ユーザーの [Summary (概要)] ページの [Permissions (アクセス許可)] タブから、ユーザーに直接、またはグループのユーザーにアタッチされているポリシーのリストを表示します。

  5. ユーザーのポリシーのテーブルで、表示するポリシーの行を展開します。

  6. サービスのポリシー概要のリストで、表示するサービス名を選択します。

    注記

    選択したポリシーがユーザーに直接アタッチされているインラインポリシーの場合、サービス概要テーブルが表示されます。ポリシーがグループからアタッチされたインラインポリシーの場合、そのグループの JSON ポリシードキュメントに移動します。ポリシーが管理ポリシーの場合、そのポリシーのサービス概要が [ポリシー] ページに表示されます。

  7. アクションのサービス概要リストで、表示するアクション名を選択します。

ロールにアタッチされたポリシーのアクション概要を表示するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Roles (ロール) ] を選択します。

  3. ロールのリストから、表示するポリシーを含むロールの名前を選択します。

  4. ロールの [Summary (概要)] ページの [Permissions (アクセス許可)] タブから、ロールにアタッチされているポリシーのリストを表示します。

  5. ロールのポリシーのテーブルで、表示するポリシーの行を展開します。

  6. サービスのポリシー概要のリストで、表示するサービス名を選択します。

  7. アクションのサービス概要リストで、表示するアクション名を選択します。

アクション概要の要素について

以下の例は、Amazon S3 サービス概要 (「サービス概要 (アクションのリスト)」を参照) からの PutObject (Write) アクションの概要です。このアクションについて、ポリシーでは 1 つのリソースに対して複数の条件を定義しています。


        アクション概要のダイアログイメージ

アクション概要ページには、以下の情報が含まれます。

  1. [Back (戻る)] リンクの横に、サービス名とアクションが service: action の形式で表示されます (この場合は S3: PutObject)。このサービスのアクション概要には、ポリシーで定義されているリソースのリストが含まれます。

  2. アクションに適用される複数の条件の表示など、ポリシーに関する追加の詳細を表示するには、[{ } JSON] を選択します (ユーザーに直接アタッチされたインラインポリシーのアクション概要を表示する場合は、手順が異なります。その場合に JSON ポリシードキュメントにアクセスするには、アクション概要のダイアログボックスを閉じ、ポリシー概要に戻る必要があります)。

  3. 特定のリソースの概要を表示するには、キーワードを検索ボックスに入力して、使用可能なリソースのリストを減らします。

  4. Resource (リソース) – この列には、選択したサービスに対してポリシーで定義したリソースが表示されます。この例では、すべてのオブジェクトパスで PutObject アクションが許可されていますが、Amazon S3 バケットリソース developer_bucket に対してのみ許可されます。サービスから IAM に渡される情報に応じて、arn:aws:s3:::developer_bucket/* などの ARN が表示されるか、BucketName = developer_bucket, ObjectPath = All などの定義されたリソースタイプが表示される場合があります。

  5. リージョン – この列には、リソースが定義されているリージョンが表示されます。リソースは、すべてのリージョンまたは 1 つのリージョンに対して定義できます。特定の複数のリージョンに存在することはできません。

    • All regions (すべてのリージョン) – リソースに関連付けられているアクションは、すべてのリージョンに適用されます。この例では、アクションはグローバルサービス Amazon S3 に属します。グローバルサービスに属するアクションは、すべてのリージョンに適用されます。

    • Region text – リソースに関連付けられているアクションは、1 つのリージョンに適用されます。たとえば、ポリシーではリソースに対して us-east-2 リージョンを指定できます。

  6. アカウント – この列には、リソースに関連付けられているサービスまたはアクションが特定のアカウントに適用されるかどうかが示されます。リソースはすべてのアカウントか 1 つのアカウントに存在できます。特定の複数のアカウントに存在することはできません。

    • All accounts (すべてのアカウント) – リソースに関連付けられているアクションは、すべてのアカウントに適用されます。この例では、アクションはグローバルサービス Amazon S3 に属します。グローバルサービスに属するアクションは、すべてのアカウントに適用されます。

    • このアカウント – リソースに関連付けられているアクションは、現在ログインしているアカウントにのみ適用されます。

    • Account number – リソースに関連付けられているアクションは、1 つのアカウント (現在ログインしていないアカウント) に適用されます。たとえば、ポリシーでリソースに対して 123456789012 アカウントが指定されている場合、そのアカウント番号がポリシー概要に表示されます。

  7. Request condition (リクエスト条件) – この列には、リソースに関連付けられているアクションが条件の対象かどうかが示されます。この例には s3:x-amz-acl = public-read 条件が含まれています。これらの条件の詳細については、[{ } JSON] を選択して JSON ポリシードキュメントを確認してください。