メニュー
AWS Identity and Access Management
ユーザーガイド

AWS Security Token Service のアクション、リソース、および条件キー

AWS Security Token Service (サービスプレフィックス: sts) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Security Token Service で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用することにより、AWS でオペレーションを実行するすべてのユーザーのアクセス許可を定義します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssumeRole 通常はアクセスできない AWS リソースへのアクセスに使用できる一時的なセキュリティ認証情報のセットを返します。 書き込み

role*

AssumeRoleWithSAML SAML 認証レスポンスによって認証されたユーザーの一時的なセキュリティ認証情報のセットを返します。 書き込み

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

AssumeRoleWithWebIdentity モバイルまたはウェブアプリケーションでウェブ ID プロバイダーを使用して認証されたユーザーに一時的なセキュリティ認証情報のセットを返します。 書き込み

role*

<web-identity-provider>:aud

<web-identity-provider>:oaud

<web-identity-provider>:sub

DecodeAuthorizationMessage AWS リクエストに応答して返るエンコードされたメッセージから、リクエストの承認ステータスに関する追加情報をデコードします。 書き込み
GetCallerIdentity API の呼び出しに認証情報が使用される対象の IAM 識別情報の詳細を返します。 Read
GetFederationToken フェデレーティッドユーザーの一時的なセキュリティ認証情報 (アクセスキー ID、シークレットアクセスキー、セキュリティトークンで構成される) を返します。 Read

user

STS で定義されるリソース

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。「アクション」テーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
iam arn:${Partition}:iam::${Account}:${RelativeId}
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
sts arn:${Partition}:sts::${Account}:${RelativeId}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

AWS Security Token Service の条件キー

AWS Security Token Service は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「IAM ポリシーの参照」の「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
<web-identity-provider>:aud 文字列
<web-identity-provider>:oaud 文字列
<web-identity-provider>:sub 文字列
aws:FederatedProvider 文字列
saml:namequalifier 文字列
saml:sub 文字列
saml:sub_type 文字列
saml:aud 文字列
saml:iss 文字列
saml:doc 文字列
saml:cn 文字列
saml:commonName 文字列
saml:eduorghomepageuri 文字列
saml:eduorgidentityauthnpolicyuri 文字列
saml:eduorglegalname 文字列
saml:eduorgsuperioruri 文字列
saml:eduorgwhitepagesuri 文字列
saml:edupersonaffiliation 文字列
saml:edupersonassurance 文字列
saml:edupersonentitlement 文字列
saml:edupersonnickname 文字列
saml:edupersonorgdn 文字列
saml:edupersonorgunitdn 文字列
saml:edupersonprimaryaffiliation 文字列
saml:edupersonprimaryorgunitdn 文字列
saml:edupersonprincipalname 文字列
saml:edupersonscopedaffiliation 文字列
saml:edupersontargetedid 文字列
saml:givenName 文字列
saml:mail 文字列
saml:name 文字列
saml:organizationStatus 文字列
saml:primaryGroupSID 文字列
saml:surname 文字列
saml:uid 文字列
saml:x500UniqueIdentifier 文字列
sts:ExternalId 文字列