ポリシー概要内のアクセスレベルの概要 - AWS Identity and Access Management
AWS アクセスレベルの概要AWS アクセスレベル

ポリシー概要内のアクセスレベルの概要

AWS アクセスレベルの概要

ポリシー概要には、ポリシーに記載されている各サービスに対して定義されているアクションのアクセス許可を説明するアクセスレベルの概要が含まれています。ポリシーの概要については、ポリシーによって付与されるアクセス許可について を参照してください。アクセスレベルの概要は、各アクセスレベル (ListReadTaggingWritePermissions management) のアクションに、ポリシーで定義されている Full または Limited 許可が付与されているかを示します。サービス内の各アクションに割り当てられているアクセスレベルの分類を表示するには、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。

以下の例では、特定のサービスのポリシーによって付与されるアクセス権限について説明しています。完全な JSON ポリシードキュメントおよび関連の概要の例については、ポリシー概要の例 を参照してください。

サービス アクセスレベル このポリシーでは、以下を提供します。
IAM フル アクセス IAM サービス内のすべてのアクションへのアクセス
CloudWatch フル: リスト List アクセスレベルのすべての CloudWatch アクションにアクセスできますが、ReadWrite、または Permissions management アクセスレベル分類によるアクションへのアクセスはできません。
Data Pipeline 制限: List、Read AWS Data Pipeline および List アクセスレベルで、少なくとも 1 つの Read アクションにアクセスできますが、すべてにアクセスすることはできません。また、Write または Permissions management アクションにはアクセスできません。
EC2 フル: List、Read 制限: Write すべての Amazon EC2、List および Read アクションにアクセスでき、さらに Amazon EC2 Write アクションの少なくとも 1 つのアクションにアクセスできますが、すべてにはアクセスできません。また Permissions management アクセスレベル分類のアクションにはアクセスできません。
S3 Limited: Read、Write、Permissions management 少なくとも 1 つのアクセス許可がありますが、Amazon S3 ReadWrite、および Permissions management アクションのすべてではありません。
CodeDeploy (空) IAM によってこのサービスが認識されないため、不明なアクセスです。
API Gateway なし ポリシーにアクセス許可が定義されていません。
CodeBuild a white exclamation point on an organe triangle background アクションは定義されていません。 サービスにアクションが定義されていないためアクセス許可がありません。この問題を理解して解決する方法については、「使用するポリシーが予期するアクセス許可を付与しない」を参照してください。

前述のように、フルアクセスは、ポリシーによりサービス内のすべてのアクションに対するアクセス許可が付与されることを示します。サービス内の一部のアクションへアクセスを提供するポリシーは、アクセスレベルの分類に従ってさらにグループ化されます。これは、以下のアクセスレベルのグループ化の 1 つによって示されます。

  • Full: このポリシーは、指定されたアクセスレベル分類のすべてのアクションへのアクセスを許可します。

  • Limited: このポリシーは、指定されたアクセスレベル分類内の 1 つ以上のアクションへのアクセスを許可しますが、すべてのアクションへのアクセスを同時には許可しません。

  • None: このポリシーはいずれのアクセス許可も付与しません。

  • (空): IAM はこのサービスを認識しません。サービス名にタイプミスが含まれる場合、ポリシーによってサービスへのアクセスは許可されません。サービス名が正しい場合、サービスがポリシー概要をサポートしていないか、プレビュー中である可能性があります。この場合は、ポリシーによってアクセスが許可される可能性がありますが、そのアクセスがポリシー概要に表示されることはありません。一般公開された (GA) サービスに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。

アクションへの制限付き(部分)アクセスを含むアクセスレベル概要は、AWS のアクセスレベル分類 ListReadTaggingWrite、または Permissions management を使用してグループ化されます。

AWS アクセスレベル

AWS は、サービスのアクションについて以下のアクセスレベル分類を定義します。

  • List: オブジェクトが存在するかどうかを判断するためにサービス内のリソースを一覧表示するアクセス許可。このレベルのアクセス権を持つアクションはオブジェクトをリストできますが、リソースのコンテンツは表示されません。たとえば、Amazon S3 アクション ListBucket には List アクセスレベルがあります。

  • Read: サービス内のリソースのコンテンツと属性を読み取るアクセス許可。ただし、編集するアクセス許可はありません。たとえば、Amazon S3 アクション GetObject および GetBucketLocation には、読み取りアクセスレベルがあります。

  • Tagging: リソースタグの状態のみを変更するアクションを実行する権限。たとえば、IAM のアクション TagRole および UntagRole は、ロールのタグ付けまたはタグ付け解除のみを許可するため、タグ付け アクセスレベルがあります。ただし、 CreateRole アクションは、ロール作成時にそのロールリソースのタグ付けを許可します。このアクションはタグの追加にとどまらないため、このアクションには Write アクセスレベルがあります。

  • Write: サービス内のリソースを作成、削除、または変更するアクセス許可。たとえば、Amazon S3 アクションDeleteBucketCreateBucket、および PutObject には Write アクセスレベルがあります。また、Write アクションにより、リソースタグの変更も許可される場合もあります。ただし、タグへの変更のみを許可するアクションには Tagging アクセスレベルがあります。

  • Permissions management: サービスのリソースに対するアクセス許可を付与または変更するアクセス許可。たとえば、IAM や AWS Organizations のほとんどのアクション、Amazon S3 の PutBucketPolicyDeleteBucketPolicy のようなアクションには、Permissions management (アクセス許可管理) アクセスレベルがあります。

    ヒント

    AWS アカウント のセキュリティを強化するには、[Permissions management] (アクセス許可の管理) アクセスレベル分類を含むポリシーを制限したり定期的にモニタリングしたりします。

サービス内の各アクションに割り当てられているアクセスレベルの分類を表示するには、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。