ポリシー概要内のアクセスレベルの概要について
ポリシー概要には、ポリシーに記載されている各サービスに対して定義されているアクションのアクセス許可を説明するアクセスレベルの概要が含まれています。ポリシーの概要については、ポリシーによって付与されるアクセス許可について を参照してください。アクセスレベル概要は、各アクセスレベル (List、Read、Write、Permissions management) のアクションに、ポリシーで定義されている Full アクセス許可があるか、Limited アクセス許可があるかを示します。サービスの各アクションに割り当てられているアクセスレベル分類を表示するには、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。
以下の例では、特定のサービスのポリシーによって付与されるアクセス権限について説明しています。完全な JSON ポリシードキュメントおよび関連の概要の例については、ポリシー概要の例 を参照してください。
| サービス | アクセスレベル | 本ポリシーの提供内容: |
|---|---|---|
| IAM | フルアクセス | IAM サービス内のすべてのアクションへのアクセス |
| CloudWatch | フル: リスト | List アクセスレベルのすべての CloudWatch アクションにアクセスできますが、Read、Write、または Permissions
management アクセスレベル分類のアクションにはアクセスできません。
|
| Data Pipeline | 制限: List、Read | List および Read アクセスレベルの少なくとも 1 つの AWS Data Pipeline アクションにアクセスできますが、すべてに同時にアクセスすることはできません。また、Write または Permissions
management アクションにはアクセスできません。
|
| EC2 | フル: List、Read 制限: Write | すべての Amazon EC2 List および Read アクションにアクセスでき、さらに Amazon EC2 Write アクションの少なくとも 1 つのアクションにアクセスできますが、すべてに同時にアクセスすることはできません。また、Permissions management アクセスレベル分類のアクションにはアクセスできません。
|
| S3 | Limited: Read、Write、Permissions management | Amazon S3 の Read、Write、Permissions management アクションの少なくとも 1 つのアクションにアクセスできますが、すべてに同時にアクセスすることはできません。
|
| codedploy | (空) | IAM によってこのサービスが認識されないため、不明なアクセスです。 |
| API Gateway | なし | ポリシーにアクセス許可が定義されていません |
| CodeBuild |
アクションは定義されていません。
|
サービスにアクションが定義されていないためアクセス許可がありません。この問題を理解して解決する方法については、「使用するポリシーが予期するアクセス許可を付与しない」を参照してください。 |
前述のように、フルアクセスは、ポリシーによりサービス内のすべてのアクションに対するアクセス許可が付与されることを示します。サービス内の一部のアクションへアクセスを提供するポリシーは、アクセスレベルの分類に従ってさらにグループ化されます。これは、以下のアクセスレベルのグループ化の 1 つによって示されます。
-
Full: このポリシーは、指定されたアクセスレベル分類のすべてのアクションへのアクセスを許可します。
-
Limited: このポリシーは、指定されたアクセスレベル分類内の 1 つ以上のアクションへのアクセスを許可しますが、すべてのアクションへのアクセスを同時には許可しません。
-
None: このポリシーはいずれのアクセス許可も付与しません。
-
(空): IAM によってこのサービスは認識されません。サービス名にタイプミスが含まれる場合、ポリシーによってサービスへのアクセスは許可されません。サービス名が正しい場合、サービスがポリシー概要をサポートしていないか、プレビュー中である可能性があります。この場合は、ポリシーによってアクセスが許可される可能性がありますが、そのアクセスがポリシー概要に表示されることはありません。一般公開された (GA) サービスに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。
アクションへの部分アクセスを含むアクセスレベル概要は、以下のアクセスレベル分類を使用してグループ化されます。
-
List: オブジェクトが存在するかどうかを判断するためにサービス内のリソースを一覧表示するアクセス許可。このレベルのアクセス権を持つアクションはオブジェクトをリストできますが、リソースのコンテンツは表示されません。たとえば、Amazon S3 アクション
ListBucketには List アクセスレベルがあります。 -
Read: サービス内のリソースのコンテンツと属性を読み取るアクセス許可。ただし、編集するアクセス許可はありません。たとえば、Amazon S3 アクション
GetObjectおよびGetBucketLocationには、Read アクセスレベルがあります。 -
Write: サービス内のリソースを作成、削除、または変更するアクセス許可。たとえば、Amazon S3 アクション
CreateBucket、DeleteBucket、およびPutObjectには Write アクセスレベルがあります。また、Writeアクションにより、リソースタグの変更も許可される場合もあります。ただし、タグへの変更のみを許可するアクションにはTaggingアクセスレベルがあります。 -
Permissions management: サービスのリソースに対するアクセス許可を付与または変更するアクセス許可。たとえば、IAM や AWS Organizations のほとんどのアクション、Amazon S3 の
PutBucketPolicyやDeleteBucketPolicyのようなアクションには、Permissions management アクセスレベルがあります。ヒント
AWS アカウントのセキュリティを強化するには、Permissions management アクセスレベル分類を含むポリシーを制限したり定期的にモニタリングしたりします。
-
Tagging: リソースタグの状態のみを変更するアクションを実行する権限。たとえば、 IAM のアクション
TagRoleおよびUntagRoleは、ロールのタグ付けまたはタグ付け解除のみを許可するため、Tagging アクセスレベルがあります。ただし、CreateRoleアクションは、ロール作成時にそのロールリソースのタグ付けを許可します。このアクションはタグの追加にとどまらないため、このアクションにはWriteアクセスレベルがあります。
サービスのすべてのアクションのアクセスレベル分類を表示するには、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。
