サービス概要 (アクションのリスト) - AWS Identity and Access Management
サービス概要の表示サービス概要の要素を理解する

サービス概要 (アクションのリスト)

ポリシーは、ポリシー概要、サービス概要アクション概要の 3 つのテーブルにまとめられています。サービス概要テーブルには、選択したサービスのポリシーによって定義されているアクションとアクセス許可の概要のリストが含まれます。

3 つのテーブルとそれらの関係を示すポリシー概要の図

アクセス許可を付与するポリシー概要に示されている各サービスの概要を表示できます。テーブルは、[Uncategorized actions (未分類アクション)]、[Uncategorized resource types (未分類リソースタイプ)]、およびアクセスレベルのセクションにグループ化されます。IAM によって認識されないアクションがポリシーに含まれる場合、そのアクションはテーブルの [Uncategorized actions (未分類アクション)] セクションに含まれます。IAM によって認識されるアクションがポリシーに含まれる場合、そのアクションはテーブルのいずれかのアクセスレベル (ListReadWritePermissions management) のセクションに含まれます。サービス内の各アクションに割り当てられているアクセスレベルの分類を表示するには、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。

サービス概要の表示

[ポリシー] ページで管理ポリシーのサービス概要を表示したり、[ユーザー] ページや [ロール] ページでユーザーやロールにアタッチされたインラインおよび管理ポリシーのサービス概要を表示したりできます。ただし、管理ポリシーの [ユーザー] ページまたは [ロール] ページでサービス名を選択した場合、[ポリシー] ページにリダイレクトされます。管理ポリシーのサービス概要は [ポリシー] ページに表示されます。

管理ポリシーのサービス概要を表示するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーの一覧で、表示するポリシーの名前を選択します。

  4. ポリシーの [Summary (概要)] ページの [Permissions (アクセス許可)] タブを表示して、ポリシー概要を確認します。

  5. サービスのポリシー概要のリストで、表示するサービス名を選択します。

ユーザーにアタッチされたポリシー概要を表示するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. ユーザーのリストから、ポリシーを表示するユーザーを選択します。

  4. ユーザーの [Summary (概要)] ページの [Permissions (アクセス許可)] タブから、ユーザーに直接、またはグループのユーザーにアタッチされているポリシーのリストを表示します。

  5. ユーザーのポリシーのテーブルで、表示するポリシーの行を展開します。

  6. サービスのポリシー概要のリストで、表示するサービス名を選択します。

    注記

    選択したポリシーがユーザーに直接アタッチされているインラインポリシーの場合、サービス概要テーブルが表示されます。ポリシーがグループからアタッチされたインラインポリシーの場合、そのグループの JSON ポリシードキュメントに移動します。ポリシーが管理ポリシーの場合、そのポリシーのサービス概要が [ポリシー] ページに表示されます。

ロールにアタッチされたポリシーのサービス概要を表示するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ロール] を選択します。

  3. ロールのリストから、表示するポリシーを含むロールの名前を選択します。

  4. ロールの [Summary (概要)] ページの [Permissions (アクセス許可)] タブから、ロールにアタッチされているポリシーのリストを表示します。

  5. ロールのポリシーのテーブルで、表示するポリシーの行を展開します。

  6. サービスのポリシー概要のリストで、表示するサービス名を選択します。

サービス概要の要素を理解する

以下の例は、SummaryAllElements ポリシー概要から許可されている Amazon S3 アクションのサービス概要です (SummaryAllElements JSON ポリシードキュメント を参照)。このサービスのアクションは、[Uncategorized actions (未分類アクション)]、[Uncategorized resource types (未分類リソースタイプ)]、およびアクセスレベルのセクションにグループ化されます。たとえば、サービスで使用可能な合計 29 の書き込みアクションから 2 つの書き込みアクションが定義されます。

サービス概要のダイアログイメージ

管理ポリシーのサービス概要ページには、以下の情報が含まれます。

  1. ポリシーのサービスに定義されているすべてのアクション、リソース、条件に対し、ポリシーでアクセス許可が付与されない場合、警告バナーがページの上部に表示されます。すると、問題に関する詳細がサービス概要に含まれます。ポリシーで付与されるアクセス許可について理解し、問題の解決にポリシー概要をどのように役立てるかについては、「使用するポリシーが予期するアクセス許可を付与しない」を参照してください。

  2. [Back (戻る)] リンクの隣に、サービスの名前が表示されます (この場合は S3)。このサービスの概要には、ポリシーで定義されている許可されたアクションのリストが含まれています。代わりに、テキスト (明示的に拒否) がサービスの名前の横に表示される場合、サービス概要テーブルにリストされているアクションは明示的に拒否されます。

  3. { } JSON を選択すると、ポリシーに関する追加の詳細が表示されます。この操作により、アクションに適用されるすべての条件を表示できます。(ユーザーに直接アタッチされているインラインポリシーのサービス概要を表示している場合は、サービス概要ダイアログボックスを閉じてポリシー概要に戻り、JSON ポリシードキュメントにアクセスする必要があります。)

  4. 特定のアクションの概要を表示するには、キーワードを検索ボックスに入力して、使用可能なアクションのリストを減らします。

  5. [Action (2 of 69 actions) (アクション (2/69 アクション))] – この列には、ポリシー内で定義されたアクションが一覧表示され、各アクションのリソースと条件が示されます。ポリシーでアクションにアクセス許可が付与されると、アクション名がアクション概要テーブルにリンクされます。カウントは、アクセス権限を付与する認識されたアクションの数を示します。合計は、サービスの既知のアクションの数です。この例では、合計 69 個の既知の S3 アクションのうちの 2 つのアクションがアクセス許可を付与します。

  6. [Show/Hide remaining 67 (残りの 67 アクションを表示/非表示)] – このリンクをクリックするとテーブルが展開されるか非表示になり、このサービスで既知ではあるがアクセス許可を指定しないアクションが表示されます。リンクを展開すると、アクセス許可を指定しないすべての要素の警告も表示されます。

  7. Unrecognized resource types (識別されないリソースタイプ) – このポリシーには、このサービスのポリシー内に 1 つ以上の認識されないリソースタイプが含まれます。この警告を使用して、リソースタイプにタイプミスが含まれている可能性があるかどうかを確認できます。リソースタイプが正しい場合、サービスはポリシー概要を一部サポートしていないか、プレビュー中であるか、カスタムサービスである可能性があります。一般公開された (GA) サービスの特定のリソースタイプに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。この例では、autoscling サービス名で a が欠落しています。

  8. Unrecognized actions (識別されないアクション) – このポリシーには、このサービスのポリシー内で認識されない 1 つ以上のアクションが含まれます。この警告を使用して、アクションにタイプミスが含まれている可能性があるかどうかを確認できます。アクション名が正しい場合、サービスはポリシー概要を一部サポートしていないか、プレビュー中であるか、カスタムサービスである可能性があります。一般公開された (GA) サービスの特定のアクションに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。この例では、DeletObject アクションで e が欠落しています。

    注記

    IAM は、ポリシー概要をサポートするサービスの名前、アクション、リソースタイプを確認します。ただし、ポリシー概要には、存在しないリソース値または条件が含まれる可能性があります。必ず Policy Simulator でポリシーをテストしてください。

  9. このテーブルでは、IAM によって認識されるそれらのアクションが、ポリシーによるアクセスレベル (許可または拒否) に応じて、1 ~ 4 つのセクションに分類されます。それらのセクションは [List]、[Read]、[Write]、[Permissions management] です。各アクセスレベル内で実行可能な操作の総数から定義されたオペレーションの数を表示できます。サービス内の各アクションに割り当てられているアクセスレベルの分類を表示するには、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。

  10. 省略符号 (…) は、ページ内にすべてのアクションが含まれていますが、このポリシーに関連した情報のある行のみが表示されていることを示します。このページを AWS Management Console に表示すると、サービスのすべてのアクションを確認できます。

  11. No access (アクセスなし)– このポリシーにはアクセス許可が指定されないアクションが含まれています。

  12. アクセス許可が指定されるアクションには、アクション概要へのリンクが含まれます。

  13. [Resource (リソース)] – この列には、ポリシーによってサービスに対して定義されているリソースが表示されます。IAM では、リソースが各アクションに適用されるかどうかは確認されません。この例では、S3 サービスのアクションは Amazon S3 バケットリソース developer_bucket に対してのみ許可されます。サービスから arn:aws:s3:::developer_bucket/* に渡される情報に応じて、 などの ARN が表示されるか、BucketName = developer_bucket などの定義されたリソースタイプが表示される場合があります。

    注記

    この列には、別のサービスのリソースが含まれることがあります。リソースを含むポリシーステートメントで、アクションとリソースの両方がサービスに一致しない場合、ポリシーには不一致のリソースが含まれます。IAM は、ポリシーを作成するときや、サービス概要でポリシーを表示するとき、リソースの不一致のリソースについて警告されません。IAM は、アクションがリソースに適用されるかどうかも示せず、サービスが一致するかどうかだけを示します。この列に不一致のリソースが含まれる場合は、ポリシーのエラーを確認する必要があります。ポリシーをより深く理解するために、必ず Policy Simulator でテストしてください。

  14. Resource warning (リソースの警告) – フルアクセスが指定されないリソースに対するアクションについては、以下のいずれかの警告が表示されます。

    • [This action does not support resource-level permissions.] (このアクションでは、リソースレベルのアクセス許可はサポートされません。) [This requires a wildcard (*) for the resource.] (これにはリソース用のワイルドカード (*) が必要です。) – これは、ポリシーにはリソースレベルのアクセス許可が含まれているが、このアクションに対するアクセス許可を指定するには、"Resource": ["*"] を含める必要があることを意味しています。

    • このアクションに該当するリソースがありません。– これは、ポリシーに含まれているアクションにサポートされたリソースがないことを意味しています。

    • このアクションには、該当するリソースと条件がありません。– これは、ポリシーに含まれているアクションにサポートされたリソースおよび条件がないことを意味しています。この場合、このサービスのポリシーに条件は含まれていますが、このアクションに適用される条件はありません。

    ListAllMyBuckets アクションの場合、このポリシーには最後の警告が含まれます。アクションがリソースレベルのアクセス許可をサポートせず、s3:x-amz-acl 条件キーをサポートしていないためです。リソースまたは条件に関する問題が解決すると、残りの問題が警告の詳細に表示されます。

  15. Request condition (リクエストの状態) – この列は、リソースに関連付けられたアクションが条件の対象かどうかを示します。これらの条件の詳細については、[{ } JSON] を選択して JSON ポリシードキュメントを確認してください。

  16. Condition warning (条件の警告) – フルアクセスが指定されない条件に対するアクションについては、以下のいずれかの警告が表示されます。

    • <CONDITION_KEY> はこのアクションに対してサポートされている条件キーではありません。– これは、このアクションをサポートしていないサービスの条件キーがポリシーに含まれていることを意味します。

    • このアクションには複数の条件キーはサポートされていません。– これは、このアクションをサポートしていないサービスの 1 つ以上の条件キーがポリシーに含まれていることを意味します。

    GetObject の場合、このアクションでは使用できない s3:x-amz-acl 条件キーがこのポリシーに含まれています。アクションはリソースをサポートしていますが、このアクションに対して条件が有効になることがないため、ポリシーはこのアクションにアクセス許可を付与しません。