IAM と連携する AWS のサービス
以下に一覧表示されている AWS のサービスは AWS 製品カテゴリ別にグループ化され、サポートする IAM 機能に関する情報を含んでいます。
-
サービス – サービスの名前を選択し、このサービスの IAM 認証とアクセスに関する AWS ドキュメントを表示できます。
-
アクション – ポリシーで個々のアクションを指定できます。サービスがこの機能をサポートしていない場合、ビジュアルエディタで [すべてのアクション] が選択されます。JSON ポリシードキュメントでは、
*要素にActionを使用する必要があります。各サービスのアクションのリストについては、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。 -
リソースレベルのアクセス許可 – ARN を使用してポリシーで個々のリソースを指定できます。サービスがこの機能をサポートしていない場合、ポリシービジュアルエディタで [すべてのリソース] が選択されます。JSON ポリシードキュメントでは、
*要素にResourceを使用する必要があります。List*アクションなど一部のアクションは、複数のリソースを返すように設計されているため、ARN の指定をサポートしていません。サービスがこの機能を一部のリソースでサポートしている場合は、その旨が表の黄色のセルに示されます。詳細については、該当するサービスのドキュメントを参照してください。 -
リソースベースのポリシー – リソースベースのポリシーをサービス内のリソースにアタッチできます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する
Principal要素が含まれます。詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。 -
タグに基づいた承認 – ポリシーの条件にリソースタグを使用できます。たとえば、タグ付けした Amazon RDS リソースへのフルアクセスをタグの所有者に許可するポリシーを作成するとします。これを行うには、
rds:db-tag/Ownerなどの条件キーを使用します。 -
一時的認証情報 – フェデレーション、クロスアカウントロール、またはサービスロールを使用してサインインしたユーザーがこのサービスにアクセスできます。AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出して、一時的セキュリティ認証情報を取得します。詳細については、「一時的セキュリティ認証情報」を参照してください。
-
サービスにリンクされたロール – サービスにリンクされたロールは、ユーザーに代わってアクションを完了するために、他のサービスのリソースにアクセスするアクセス許可をサービスに付与します。これらのロールをサポートするサービスのドキュメントを参照するには、
Yesリンクを選択してください。詳細については、「サービスにリンクされたロールの使用」を参照してください。 -
詳細情報 – サービスが機能を完全にサポートしていない場合は、エントリの脚注を確認して、制限および関連情報へのリンクを参照できます。
コンピューティングサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Batch | あり | あり | なし | なし | あり | なし |
| Amazon Elastic Compute Cloud (Amazon EC2) | あり | あり | なし | あり | あり | あり ¹ |
| Amazon EC2 Auto Scaling | あり | あり | なし | あり | あり | あり |
| AWS Elastic Beanstalk | あり | あり | なし | あり | あり | あり |
| Amazon Elastic Container Registry (Amazon ECR) | あり | あり | あり | あり | あり | なし |
| Amazon Elastic Container Service (Amazon ECS) | あり | あり | なし | なし | あり | あり |
| Amazon Elastic Kubernetes Service (Amazon EKS) | あり | なし | なし | なし | あり | なし |
| Amazon Elastic Inference | あり | あり | あり | なし | なし | なし |
| Elastic Load Balancing | あり | あり | なし | あり | あり | あり |
| AWS Lambda | あり | あり | あり | なし | あり | あり |
| Amazon Lightsail | あり | なし | なし | なし | あり | なし |
¹ Amazon EC2 サービスにリンクされたロールは、AWS マネジメントコンソール を使用して作成することはできず、スケジュールされたインスタンス、スポットインスタンスリクエスト、スポットフリートリクエストの各機能にのみ使用できます。
ストレージサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Backup | あり | あり | あり | なし | あり | なし |
| Amazon Elastic Block Store (Amazon EBS) | あり | あり | なし | あり | あり | なし |
| Amazon Elastic File System (Amazon EFS) | あり | あり | あり | あり | あり | なし |
| Amazon S3 Glacier | あり | あり | あり | あり | あり | なし |
| AWS Import/Export | あり | なし | なし | なし | あり | なし |
| AWS Migration Hub | あり | あり | なし | なし | あり | なし |
| Amazon Simple Storage Service (Amazon S3) | あり | あり | あり | あり¹ | あり | なし |
| AWS Snowball | あり | なし | なし | なし | あり | なし |
| AWS Snowball Edge | あり | なし | なし | なし | なし | なし |
| AWS Storage Gateway | あり | あり | なし | あり | あり | なし |
¹ Amazon S3 はオブジェクトリソースに対してのみタグベースの認証をサポートしています。
データベースサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon DynamoDB | あり | あり | なし | なし | あり | あり |
| Amazon ElastiCache | あり | なし¹ | なし | なし | あり | あり |
| Amazon Redshift | あり | あり | なし | なし | あり | あり |
| Amazon Relational Database Service (Amazon RDS) | あり | あり | なし | あり | あり | あり |
| Amazon SimpleDB | あり | あり | なし | なし | あり | なし |
¹ ポリシー内の ElastiCache リソースの ARN を指定することはできませんが、クラスターまたはレプリケーションをシードするときに、ElastiCache アクションで Amazon S3 ARNを指定できます。
開発者用ツールサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Cloud9 | あり | あり | あり | あり | あり | あり |
| CodeBuild | あり | あり | なし | なし | あり | なし |
| CodeCommit | あり | あり | なし | あり | あり | なし |
| AWS CodeDeploy | あり | あり | なし | なし | あり | なし |
| CodePipeline | あり | あり | なし | あり | あり | なし |
| AWS CodeStar | あり | あり¹ | なし | あり | あり | なし |
| AWS X-Ray | あり | なし | なし | なし | あり | なし |
セキュリティ、アイデンティティ、およびコンプライアンスサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Certificate Manager Private Certificate Authority (ACM) | あり | あり | なし | あり | あり | なし |
| AWS Artifact | あり | あり | なし | なし | あり | なし |
| AWS Certificate Manager (ACM) | あり | あり | なし | なし | あり | なし |
| AWS CloudHSM | あり | なし | なし | なし | あり | あり |
| AWS CloudHSM Classic | あり | なし | なし | なし | なし | なし |
| Amazon Cognito | あり | あり | なし | あり | あり | なし |
| AWS Directory Service | あり | あり | なし | あり | あり | なし |
| Amazon GuardDuty | あり | あり | なし | なし | あり | あり |
| AWS Identity and Access Management (IAM) | あり | あり | あり¹ | あり² | あり³ | なし |
| Amazon Inspector | あり | なし | なし | なし | あり | あり |
| AWS Key Management Service (AWS KMS) | あり | あり | あり | なし | あり | あり |
| Amazon Macie | あり | なし | なし | なし | あり | あり |
| AWS Secrets Manager | あり | あり | あり | あり | あり | なし |
| AWS セキュリティハブ | あり | あり | なし | なし | あり | あり |
| AWS シングルサインオン (AWS SSO) | あり | なし | なし | なし | あり | あり |
| AWS Security Token Service (AWS STS) | あり | はい⁴ | なし | なし | はい⁵ | なし |
| AWS Shield アドバンスド | あり | なし | なし | なし | あり | なし |
| AWS WAF | あり | あり | なし | なし | あり | あり |
¹ IAM では、ロールの信頼ポリシーと呼ばれるリソースベースのポリシーのタイプを 1 つのみサポートしています。このタイプは、IAM ロールにアタッチされます。詳細については、「ロールを切り替えるユーザーアクセス権限の付与」を参照してください。
² IAM はユーザーとロールのリソースに対してのみタグベースのアクセスコントロールをサポートしています。
³ 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、「API オプションの比較」を参照してください。
⁴ AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、「一時的セキュリティ認証情報のアクセスを名前で拒否する」を参照してください。
⁵ 一時的な認証情報を使用した呼び出しは、AWS STS の一部の API オペレーションでのみサポートされています。詳細については、「API オプションの比較」を参照してください。
Machine Learning サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Comprehend | あり | なし | なし | あり | あり | なし |
| AWS DeepRacer | あり | なし | なし | なし | あり | あり |
| Forecast | あり | あり | なし | なし | あり | なし |
| Amazon Lex | あり | あり | なし | なし | あり | あり |
| Amazon Machine Learning | あり | あり | なし | あり | あり | なし |
| Amazon Personalize | あり | あり | なし | なし | あり | なし |
| Amazon Polly | あり | あり | なし | なし | あり | なし |
| Amazon Rekognition | あり | あり | なし | なし | なし | なし |
| Amazon SageMaker | あり | あり | なし | あり¹ | あり | なし |
| Amazon Textract | あり | あり | なし | なし | なし | なし |
| Amazon Transcribe | あり | なし | なし | なし | あり | なし |
| Amazon Translate | あり | なし | なし | なし | あり | なし |
¹ Amazon SageMaker は、InvokeEndpoint の呼び出しにタグベースの承認の使用をサポートしていません。
管理とガバナンスサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Application Auto Scaling | あり | なし | なし | なし | あり | あり |
| AWS Auto Scaling | あり | なし | なし | なし | あり | あり |
| AWS CloudFormation | あり | あり | なし | あり | あり | なし |
| AWS CloudTrail | あり | あり | なし | なし | あり | なし |
| Amazon CloudWatch | あり | あり | なし | あり | あり | あり¹ |
| Amazon CloudWatch Events | あり | あり | なし | あり | あり | なし |
| Amazon CloudWatch Logs | あり | あり | あり | あり | あり | なし |
| AWS Config | あり | あり² | なし | あり | あり | あり |
| AWS Health | あり | なし | なし | なし | あり | なし |
| AWS OpsWorks | あり | あり | なし | なし | あり | なし |
| AWS OpsWorks for Chef Automate | あり | あり | なし | なし | あり | なし |
| AWS Organizations | あり | あり | なし | なし | あり | あり |
| AWS リソースグループ | あり | あり | なし | あり | あり³ | なし |
| AWS Service Catalog | あり | なし | なし | はい⁴ | あり | なし |
| AWS Systems Manager | あり | あり | なし | あり | あり | あり |
| AWS Trusted Advisor | はい⁵ | あり | なし | なし | あり | あり |
¹ Amazon CloudWatch サービスにリンクされたロールは AWS マネジメントコンソール を使用して作成することはできず、アラームアクション機能のみをサポートします。
² AWS Config は、マルチアカウント、マルチリージョンのデータ集約、および AWS Config ルールについて、リソースレベルのアクセス許可をサポートしています。サポートされているリソースのリストについては、AWS Config API ガイドの「マルチアカウントマルチリージョンのデータ集約」セクションおよび「AWS Config ルール」セクションを参照してください。
³ ユーザーは、AWS リソースグループ オペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。
⁴ AWS Service Catalog は、API オペレーションを入力内の 1 つのリソースと一致させるアクションに対してのみタグベースのアクセスコントロールをサポートしています。
⁵ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによって制御されます。
移行と転送のサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Application Discovery Service | あり | なし | なし | なし | なし | あり |
| AWS Database Migration Service | あり | あり | あり¹ | あり | あり | なし |
| AWS Migration Hub | あり | あり | なし | なし | あり | なし |
¹ サポートされているターゲットエンドポイントに移行されるデータを暗号化するために作成した AWS KMS 暗号化キーにアタッチされているポリシーを作成および変更できます。サポートされているターゲットエンドポイントには Amazon Redshift や Amazon S3 があります。詳細については、AWS Database Migration Service ユーザーガイドの「Amazon Redshift ターゲットデータを暗号化する AWS KMS キーの作成と使用」と「Amazon S3 ターゲットオブジェクトを暗号化する AWS KMS キーの作成」を参照してください。
モバイルサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Amplify | あり | あり | なし | あり | なし | なし |
| AWS Device Farm | あり | あり | なし | あり | あり | なし |
ネットワーキングとコンテンツ配信サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon API Gateway | あり | あり | あり | あり | あり | あり |
| あり | あり | なし | あり | あり | あり | |
| あり¹ | なし | なし | なし | あり | なし | |
| あり | あり | なし | なし | あり | なし | |
| AWS Direct Connect | あり | なし | なし | なし | あり | なし |
| あり | あり | なし | なし | あり | なし | |
| Amazon Route 53 | あり | あり | なし | なし | あり | なし |
| Amazon Route 53 リゾルバー | あり | あり | なし | あり | あり | なし |
| Amazon Virtual Private Cloud (Amazon VPC) | あり | あり² | あり³ | なし | あり | なし |
¹ CloudFront では、CloudFront キーペアを作成するためのアクション レベルのアクセス許可がサポートされていません。CloudFront キーペアを作成するには AWS アカウントのルートユーザー を使用する必要があります。詳細については、Amazon CloudFront 開発者ガイドの「信頼された署名者の CloudFront キーペアを作成する」を参照してください。
² IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス許可を制限することはできません。ec2:*VpcEndpoint* または ec2:DescribePrefixLists API アクションを含むいずれの Action エレメントにも、""Resource":
"*"" を指定する必要があります。詳細については、Amazon VPC ユーザーガイドの「エンドポイントの使用の管理」を参照してください。
³ Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスをコントロールする方法の詳細については、Amazon VPC ユーザーガイドの「エンドポイントポリシーの使用」を参照してください。
メディアサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Elastic Transcoder | あり | あり | なし | なし | あり | なし |
| AWS Elemental MediaConnect | あり | あり | なし | なし | あり | なし |
| AWS Elemental MediaConvert | あり | あり | なし | あり | あり | なし |
| AWS Elemental MediaLive | あり | あり | あり | あり | あり | なし |
| AWS Elemental MediaPackage | あり | あり | なし | あり | あり | なし |
| AWS Elemental MediaStore | あり | あり | あり | なし | あり | なし |
| AWS Elemental MediaTailor | あり | あり | なし | あり | あり | なし |
| Kinesis ビデオストリーム | あり | あり | なし | あり | あり | なし |
分析サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Athena | あり | あり | なし | あり | あり | なし |
| Amazon CloudSearch | あり | あり | なし | なし | あり | なし |
| AWS Data Pipeline | あり | なし | なし | あり | あり | なし |
| Amazon Elasticsearch Service | あり | あり | あり | なし | あり | あり |
| Amazon EMR | あり | なし | なし | あり | あり | あり |
| AWS Glue | あり | あり | あり | あり | あり | あり |
| Amazon Kinesis Data Analytics | あり | あり | なし | あり | あり | なし |
| Amazon Kinesis Data Firehose | あり | あり | なし | あり | あり | なし |
| Amazon Kinesis Data Streams | あり | あり | なし | なし | あり | なし |
| Amazon QuickSight | あり | あり | なし | なし | あり | なし |
アプリケーション統合サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon MQ | あり | あり | なし | あり | あり | なし |
| Amazon Simple Notification Service (Amazon SNS) | あり | あり | あり | なし | あり | なし |
| Amazon Simple Queue Service (Amazon SQS) | あり | あり | あり | なし | あり | なし |
| AWS Step Functions | あり | あり | なし | あり | あり | なし |
| Amazon Simple Workflow Service (Amazon SWF) | あり | あり | なし | あり | あり | なし |
ビジネスアプリケーションサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Alexa for Business | あり | あり | なし | なし | あり | なし |
| Amazon WorkMail | あり | なし | なし | なし | あり | あり |
Satellite Services
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Ground Station | あり | あり | なし | あり | あり | なし |
IoT サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS IoT | あり | あり | あり¹ | あり | あり | なし |
| AWS IoT Analytics | あり | あり | なし | あり | あり | なし |
| AWS IoT イベント | あり | あり | なし | あり | あり | なし |
| AWS IoT Greengrass | あり | あり | なし | あり | あり | なし |
| AWS IoT Things Graph | あり | なし | なし | なし | あり | なし |
¹ AWS IoT に接続されたデバイスは、X.509 証明書または Amazon Cognito ID を使用して認証されます。X.509 証明書または Amazon Cognito ID に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、AWS IoT 開発者ガイドの「AWS IoT の セキュリティと ID」を参照してください。
ロボットサービス
ブロックチェーンサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Managed Blockchain | あり | あり | なし | なし | あり | なし |
ゲーム開発サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon GameLift | あり | なし | なし | なし | あり | なし |
AR および VR サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Sumerian | あり | あり | なし | なし | あり | なし |
顧客エンゲージメントサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Connect | あり | あり | なし | なし | あり | あり |
| Amazon Pinpoint | あり | あり | なし | あり | あり | なし |
| Amazon Simple Email Service (Amazon SES) | あり | あり¹ | あり | あり | あり² | なし |
¹ ses:SendEmail または ses:SendRawEmail など、E メールの送信に関連するアクションを参照するポリシーステートメントでのみリソースレベルのアクセス許可を使用できます。他のアクションを参照するポリシーステートメントについては、Resource
要素は * のみを含めることができます。
² 一時的セキュリティ認証情報をサポートしているのは、Amazon SES API のみです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。
エンドユーザーコンピューティングサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon AppStream | あり | なし | なし | なし | あり | なし |
| Amazon AppStream 2.0 | あり | あり | なし | あり | あり | なし |
| Amazon WAM | あり | なし | なし | なし | あり | なし |
| Amazon WorkDocs | あり | なし | なし | なし | あり | なし |
| Amazon WorkLink | あり | あり | あり | なし | あり | あり |
| Amazon WorkSpaces | あり | あり | なし | あり | あり | なし |
その他のリソース
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Billing and Cost Management | あり | なし | なし | なし | あり | なし |
| AWS Marketplace | あり | あり | なし | なし | あり | なし |
| AWS サポート | なし | なし | なし | なし | あり | あり |
