アクション概要 (リソースのリスト)
ポリシーは、ポリシー概要、サービス概要、アクション概要の 3 つのテーブルにまとめられています。アクション概要テーブルには、選択したアクションに対して適用されているリソースとその関連する条件のリストが含まれます。
![3 つのテーブルとそれらの関係を示すポリシー概要の図](images/policy_summaries-action-sum.png)
アクセス許可が付与されるアクションごとにアクション概要を表示するには、サービス概要のリンクをクリックしてください。アクション概要テーブルには [Region (リージョン)] や [Account (アカウント)] など、リソースに関する詳細が表示されます。各リソースに適用される条件を表示することもできます。これにより、一部のリソースに適用されて他のリソースには適用されない条件が表示されます。
アクション概要の表示
[ポリシー] ページでは、管理ポリシー、ユーザーにアタッチされているポリシー、およびロールにアタッチされているポリシーのアクション概要を表示できます。
管理ポリシーのアクション概要を表示するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[ポリシー] を選択します。
-
ポリシーの一覧で、表示するポリシーの名前を選択します。
-
ポリシーの [ポリシー詳細] ページで [アクセス許可] タブを表示して、ポリシー概要を確認します。
-
サービスのポリシー概要のリストで、表示するサービス名を選択します。
-
アクションのサービス概要リストで、表示するアクション名を選択します。
ユーザーにアタッチされたポリシーのアクション概要を表示するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで [ユーザー] を選択します。
-
ユーザーのリストから、ポリシーを表示するユーザーを選択します。
-
ユーザーの [Summary (概要)] ページの [Permissions (アクセス許可)] タブから、ユーザーに直接、またはグループのユーザーにアタッチされているポリシーのリストを表示します。
-
ユーザーのポリシーのテーブルで、表示するポリシーの名前を選択します。
[ユーザー] ページが表示された状態で、ユーザーにアタッチされているポリシーのサービス概要を選択すると、[ポリシー] ページにリダイレクトされます。サービスの概要は、[ポリシー] ページでのみ表示できます。
-
サービスのポリシー概要のリストで、表示するサービス名を選択します。
注記
選択したポリシーがユーザーに直接アタッチされているインラインポリシーの場合、サービス概要テーブルが表示されます。ポリシーがグループからアタッチされたインラインポリシーの場合、そのグループの JSON ポリシードキュメントに移動します。ポリシーが管理ポリシーの場合、そのポリシーのサービス概要が [ポリシー] ページに表示されます。
-
アクションのサービス概要リストで、表示するアクション名を選択します。
ロールにアタッチされたポリシーのアクション概要を表示するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで Roles (ロール) を選択します。
-
ロールのリストから、表示するポリシーを含むロールの名前を選択します。
-
ロールの [Summary (概要)] ページの [Permissions (アクセス許可)] タブから、ロールにアタッチされているポリシーのリストを表示します。
-
ユーザーのポリシーのテーブルで、表示するポリシーの名前を選択します。
[ロール] ページが表示された状態で、ユーザーにアタッチされているポリシーのサービス概要を選択すると、[ポリシー] ページにリダイレクトされます。サービスの概要は、[ポリシー] ページでのみ表示できます。
-
サービスのポリシー概要のリストで、表示するサービス名を選択します。
-
アクションのサービス概要リストで、表示するアクション名を選択します。
アクション概要の要素を理解する
以下の例は、Amazon S3 サービス概要 (「PutObject
」を参照) からの サービス概要 (アクションのリスト) (Write) アクションの概要です。このアクションについて、ポリシーでは 1 つのリソースに対して複数の条件を定義しています。
![アクション概要のダイアログイメージ](images/policies-summary-resource-dialog.png)
アクション概要ページには、以下の情報が含まれます。
-
アクションに適用される複数の条件の表示など、ポリシーに関する追加の詳細を表示するには、[JSON] を選択します (ユーザーに直接アタッチされているインラインポリシーのアクション概要を表示している場合、手順は異なります。その場合、JSON ポリシードキュメントにアクセスするには、アクション概要ダイアログボックスを閉じて、ポリシー概要に戻る必要があります。)
-
特定のリソースの概要を表示するには、キーワードを [検索] ボックスに入力して、使用可能なリソースのリストを減らします。
-
[アクション] リンクの横に、サービス名とアクションが
action name action in service
の形式で表示されます (この場合は PutObject action in S3)。このサービスのアクション概要には、ポリシーで定義されているリソースのリストが含まれます。 -
Resource (リソース) – この列には、選択したサービスに対してポリシーで定義したリソースが表示されます。この例では、すべてのオブジェクトパスで PutObject アクションが許可されていますが、Amazon S3 バケットリソース
developer_bucket
に対してのみ許可されます。サービスからarn:aws:s3:::developer_bucket/*
に渡される情報に応じて、BucketName = developer_bucket, ObjectPath = All
などの ARN が表示されるか、IAM などの定義されたリソースタイプが表示される場合があります。 -
リージョン – この列には、リソースが定義されているリージョンが表示されます。リソースは、すべてのリージョンまたは 1 つのリージョンに対して定義できます。特定の複数のリージョンに存在することはできません。
-
すべてのリージョン – リソースに関連付けられているアクションは、すべてのリージョンに適用されます。この例では、アクションはグローバルサービス Amazon S3 に属します。グローバルサービスに属するアクションは、すべてのリージョンに適用されます。
-
Region text – リソースに関連付けられているアクションは、1 つのリージョンに適用されます。たとえば、ポリシーではリソースに対して
us-east-2
リージョンを指定できます。
-
-
アカウント – この列には、リソースに関連付けられているサービスまたはアクションが特定のアカウントに適用されるかどうかが示されます。リソースはすべてのアカウントか 1 つのアカウントに存在できます。特定の複数のアカウントに存在することはできません。
-
All accounts (すべてのアカウント) – リソースに関連付けられているアクションは、すべてのアカウントに適用されます。この例では、アクションはグローバルサービス Amazon S3 に属します。グローバルサービスに属するアクションは、すべてのアカウントに適用されます。
-
このアカウント – リソースに関連付けられているアクションは、現在のアカウントにのみ適用されます。
-
Account number – リソースに関連付けられているアクションは、1 つのアカウント (現在ログインしていないアカウント) に適用されます。たとえば、ポリシーでリソースに対して
123456789012
アカウントが指定されている場合、そのアカウント番号がポリシー概要に表示されます。
-
-
Request condition (リクエスト条件) – この列には、リソースに関連付けられているアクションが条件の対象かどうかが示されます。この例には
s3:x-amz-acl = public-read
条件が含まれています。これらの条件の詳細については、[JSON] を選択して JSON ポリシードキュメントを確認してください。