AWS Identity and Access Management
ユーザーガイド

IAM と連携する AWS のサービス

以下に一覧表示されている AWS のサービスは AWS 製品カテゴリ別にグループ化され、サポートする IAM 機能に関する情報を含んでいます。

  • サービス – サービスの名前を選択し、このサービスの IAM 認証とアクセスに関する AWS ドキュメントを表示できます。

  • アクション – ポリシーで個々のアクションを指定できます。サービスがこの機能をサポートしていない場合、ビジュアルエディタで [すべてのアクション] が選択されます。JSON ポリシードキュメントでは、* 要素に Action を使用する必要があります。各サービスのアクションのリストについては、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。

  • リソースレベルのアクセス許可ARN を使用してポリシーで個々のリソースを指定できます。サービスがこの機能をサポートしていない場合、ポリシービジュアルエディタで [すべてのリソース] が選択されます。JSON ポリシードキュメントでは、* 要素に Resource を使用する必要があります。List* アクションなど一部のアクションは、複数のリソースを返すように設計されているため、ARN の指定をサポートしていません。サービスがこの機能を一部のリソースでサポートしている場合は、その旨が表の黄色のセルに示されます。詳細については、該当するサービスのドキュメントを参照してください。

  • リソースベースのポリシー – リソースベースのポリシーをサービス内のリソースにアタッチできます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する Principal 要素が含まれます。詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

  • タグに基づいた承認 – ポリシーの条件にリソースタグを使用できます。たとえば、タグ付けした Amazon RDS リソースへのフルアクセスをタグの所有者に許可するポリシーを作成するとします。これを行うには、rds:db-tag/Owner などの条件キーを使用します。

  • 一時的認証情報 – フェデレーション、クロスアカウントロール、またはサービスロールを使用してサインインしたユーザーがこのサービスにアクセスできます。AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出して、一時的セキュリティ認証情報を取得します。詳細については、「一時的セキュリティ認証情報」を参照してください。

  • サービスにリンクされたロールサービスにリンクされたロールは、ユーザーに代わってアクションを完了するために、他のサービスのリソースにアクセスするアクセス許可をサービスに付与します。これらのロールをサポートするサービスのドキュメントを参照するには、Yes リンクを選択してください。詳細については、「サービスにリンクされたロールの使用」を参照してください。

  • 詳細情報 – サービスが機能を完全にサポートしていない場合は、エントリの脚注を確認して、制限および関連情報へのリンクを参照できます。

コンピューティングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Batch あり あり なし なし あり なし
Amazon Elastic Compute Cloud (Amazon EC2) あり あり なし あり あり あり ¹
Amazon EC2 Auto Scaling あり あり なし あり あり あり
AWS Elastic Beanstalk あり あり なし あり あり あり
Amazon Elastic Container Registry (Amazon ECR) あり あり あり あり あり なし
Amazon Elastic Container Service (Amazon ECS) あり あり なし なし あり あり
Amazon Elastic Kubernetes Service (Amazon EKS) あり なし なし なし あり なし
Amazon Elastic Inference あり あり あり なし なし なし
Elastic Load Balancing あり あり なし あり あり あり
AWS Lambda あり あり あり なし あり あり
Amazon Lightsail あり なし なし なし あり なし

¹ Amazon EC2 サービスにリンクされたロールは、AWS マネジメントコンソール を使用して作成することはできず、スケジュールされたインスタンススポットインスタンスリクエストスポットフリートリクエストの各機能にのみ使用できます。

ストレージサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Backup あり あり あり なし あり なし
Amazon Elastic Block Store (Amazon EBS) あり あり なし あり あり なし
Amazon Elastic File System (Amazon EFS) あり あり あり あり あり なし
Amazon S3 Glacier あり あり あり あり あり なし
AWS Import/Export あり なし なし なし あり なし
AWS Migration Hub あり あり なし なし あり なし
Amazon Simple Storage Service (Amazon S3) あり あり あり あり¹ あり なし
AWS Snowball あり なし なし なし あり なし
AWS Snowball Edge あり なし なし なし なし なし
AWS Storage Gateway あり あり なし あり あり なし

¹ Amazon S3 はオブジェクトリソースに対してのみタグベースの認証をサポートしています。

データベースサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon DynamoDB あり あり なし なし あり あり
Amazon ElastiCache あり なし¹ なし なし あり あり
Amazon Redshift あり あり なし なし あり あり
Amazon Relational Database Service (Amazon RDS) あり あり なし あり あり あり
Amazon SimpleDB あり あり なし なし あり なし

¹ ポリシー内の ElastiCache リソースの ARN を指定することはできませんが、クラスターまたはレプリケーションをシードするときに、ElastiCache アクションで Amazon S3 ARNを指定できます。

開発者用ツールサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Cloud9 あり あり あり あり あり あり
CodeBuild あり あり なし なし あり なし
CodeCommit あり あり なし あり あり なし
AWS CodeDeploy あり あり なし なし あり なし
CodePipeline あり あり なし あり あり なし
AWS CodeStar あり あり¹ なし あり あり なし
AWS X-Ray あり なし なし なし あり なし

セキュリティ、アイデンティティ、およびコンプライアンスサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Certificate Manager Private Certificate Authority (ACM) あり あり なし あり あり なし
AWS Artifact あり あり なし なし あり なし
AWS Certificate Manager (ACM) あり あり なし なし あり なし
AWS CloudHSM あり なし なし なし あり あり
AWS CloudHSM Classic あり なし なし なし なし なし
Amazon Cognito あり あり なし あり あり なし
AWS Directory Service あり あり なし あり あり なし
Amazon GuardDuty あり あり なし なし あり あり
AWS Identity and Access Management (IAM) あり あり あり¹ あり² あり³ なし
Amazon Inspector あり なし なし なし あり あり
AWS Key Management Service (AWS KMS) あり あり あり なし あり あり
Amazon Macie あり なし なし なし あり あり
AWS Secrets Manager あり あり あり あり あり なし
AWS セキュリティハブ あり あり なし なし あり あり
AWS シングルサインオン (AWS SSO) あり なし なし なし あり あり
AWS Security Token Service (AWS STS) あり はい⁴ なし なし はい⁵ なし
AWS Shield アドバンスド あり なし なし なし あり なし
AWS WAF あり あり なし なし あり あり

¹ IAM では、ロールの信頼ポリシーと呼ばれるリソースベースのポリシーのタイプを 1 つのみサポートしています。このタイプは、IAM ロールにアタッチされます。詳細については、「ロールを切り替えるユーザーアクセス権限の付与」を参照してください。

² IAM はユーザーとロールのリソースに対してのみタグベースのアクセスコントロールをサポートしています。

³ 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、「API オプションの比較」を参照してください。

⁴ AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、「一時的セキュリティ認証情報のアクセスを名前で拒否する」を参照してください。

⁵ 一時的な認証情報を使用した呼び出しは、AWS STS の一部の API オペレーションでのみサポートされています。詳細については、「API オプションの比較」を参照してください。

Machine Learning サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Comprehend あり なし なし あり あり なし
AWS DeepRacer あり なし なし なし あり あり
Forecast あり あり なし なし あり なし
Amazon Lex あり あり なし なし あり あり
Amazon Machine Learning あり あり なし あり あり なし
Amazon Personalize あり あり なし なし あり なし
Amazon Polly あり あり なし なし あり なし
Amazon Rekognition あり あり なし なし なし なし
Amazon SageMaker あり あり なし あり¹ あり なし
Amazon Textract あり あり なし なし なし なし
Amazon Transcribe あり なし なし なし あり なし
Amazon Translate あり なし なし なし あり なし

¹ Amazon SageMaker は、InvokeEndpoint の呼び出しにタグベースの承認の使用をサポートしていません。

管理とガバナンスサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Application Auto Scaling あり なし なし なし あり あり
AWS Auto Scaling あり なし なし なし あり あり
AWS CloudFormation あり あり なし あり あり なし
AWS CloudTrail あり あり なし なし あり なし
Amazon CloudWatch あり あり なし あり あり あり¹
Amazon CloudWatch Events あり あり なし あり あり なし
Amazon CloudWatch Logs あり あり あり あり あり なし
AWS Config あり あり² なし あり あり あり
AWS Health あり なし なし なし あり なし
AWS OpsWorks あり あり なし なし あり なし
AWS OpsWorks for Chef Automate あり あり なし なし あり なし
AWS Organizations あり あり なし なし あり あり
AWS リソースグループ あり あり なし あり あり³ なし
AWS Service Catalog あり なし なし はい⁴ あり なし
AWS Systems Manager あり あり なし あり あり あり
AWS Trusted Advisor はい⁵ あり なし なし あり あり

¹ Amazon CloudWatch サービスにリンクされたロールは AWS マネジメントコンソール を使用して作成することはできず、アラームアクション機能のみをサポートします。

² AWS Config は、マルチアカウント、マルチリージョンのデータ集約、および AWS Config ルールについて、リソースレベルのアクセス許可をサポートしています。サポートされているリソースのリストについては、AWS Config API ガイドの「マルチアカウントマルチリージョンのデータ集約」セクションおよび「AWS Config ルール」セクションを参照してください。

³ ユーザーは、AWS リソースグループ オペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。

⁴ AWS Service Catalog は、API オペレーションを入力内の 1 つのリソースと一致させるアクションに対してのみタグベースのアクセスコントロールをサポートしています。

⁵ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによって制御されます。

移行と転送のサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Application Discovery Service あり なし なし なし なし あり
AWS Database Migration Service あり あり あり¹ あり あり なし
AWS Migration Hub あり あり なし なし あり なし

¹ サポートされているターゲットエンドポイントに移行されるデータを暗号化するために作成した AWS KMS 暗号化キーにアタッチされているポリシーを作成および変更できます。サポートされているターゲットエンドポイントには Amazon Redshift や Amazon S3 があります。詳細については、AWS Database Migration Service ユーザーガイドの「Amazon Redshift ターゲットデータを暗号化する AWS KMS キーの作成と使用」と「Amazon S3 ターゲットオブジェクトを暗号化する AWS KMS キーの作成」を参照してください。

モバイルサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Amplify あり あり なし あり なし なし
AWS Device Farm あり あり なし あり あり なし

ネットワーキングとコンテンツ配信サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon API Gateway あり あり あり あり あり あり

AWS App Mesh

あり あり なし あり あり あり

Amazon CloudFront

あり¹ なし なし なし あり なし

AWS Cloud Map

あり あり なし なし あり なし
AWS Direct Connect あり なし なし なし あり なし

AWS Global Accelerator

あり あり なし なし あり なし
Amazon Route 53 あり あり なし なし あり なし
Amazon Route 53 リゾルバー あり あり なし あり あり なし
Amazon Virtual Private Cloud (Amazon VPC) あり あり² あり³ なし あり なし

¹ CloudFront では、CloudFront キーペアを作成するためのアクション レベルのアクセス許可がサポートされていません。CloudFront キーペアを作成するには AWS アカウントのルートユーザー を使用する必要があります。詳細については、Amazon CloudFront 開発者ガイドの「信頼された署名者の CloudFront キーペアを作成する」を参照してください。

² IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス許可を制限することはできません。ec2:*VpcEndpoint* または ec2:DescribePrefixLists API アクションを含むいずれの Action エレメントにも、""Resource": "*"" を指定する必要があります。詳細については、Amazon VPC ユーザーガイドの「エンドポイントの使用の管理」を参照してください。

³ Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスをコントロールする方法の詳細については、Amazon VPC ユーザーガイドの「エンドポイントポリシーの使用」を参照してください。

メディアサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Elastic Transcoder あり あり なし なし あり なし
AWS Elemental MediaConnect あり あり なし なし あり なし
AWS Elemental MediaConvert あり あり なし あり あり なし
AWS Elemental MediaLive あり あり あり あり あり なし
AWS Elemental MediaPackage あり あり なし あり あり なし
AWS Elemental MediaStore あり あり あり なし あり なし
AWS Elemental MediaTailor あり あり なし あり あり なし
Kinesis ビデオストリーム あり あり なし あり あり なし

分析サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Athena あり あり なし あり あり なし
Amazon CloudSearch あり あり なし なし あり なし
AWS Data Pipeline あり なし なし あり あり なし
Amazon Elasticsearch Service あり あり あり なし あり あり
Amazon EMR あり なし なし あり あり あり
AWS Glue あり あり あり あり あり あり
Amazon Kinesis Data Analytics あり あり なし あり あり なし
Amazon Kinesis Data Firehose あり あり なし あり あり なし
Amazon Kinesis Data Streams あり あり なし なし あり なし
Amazon QuickSight あり あり なし なし あり なし

アプリケーション統合サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon MQ あり あり なし あり あり なし
Amazon Simple Notification Service (Amazon SNS) あり あり あり なし あり なし
Amazon Simple Queue Service (Amazon SQS) あり あり あり なし あり なし
AWS Step Functions あり あり なし あり あり なし
Amazon Simple Workflow Service (Amazon SWF) あり あり なし あり あり なし

ビジネスアプリケーションサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Alexa for Business あり あり なし なし あり なし
Amazon WorkMail あり なし なし なし あり あり

Satellite Services

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Ground Station あり あり なし あり あり なし

IoT サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS IoT あり あり あり¹ あり あり なし
AWS IoT Analytics あり あり なし あり あり なし
AWS IoT イベント あり あり なし あり あり なし
AWS IoT Greengrass あり あり なし あり あり なし
AWS IoT Things Graph あり なし なし なし あり なし

¹ AWS IoT に接続されたデバイスは、X.509 証明書または Amazon Cognito ID を使用して認証されます。X.509 証明書または Amazon Cognito ID に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、AWS IoT 開発者ガイドの「AWS IoT の セキュリティと ID」を参照してください。

ロボットサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
RoboMaker あり あり なし あり なし あり

ブロックチェーンサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Managed Blockchain あり あり なし なし あり なし

ゲーム開発サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon GameLift あり なし なし なし あり なし

AR および VR サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Sumerian あり あり なし なし あり なし

顧客エンゲージメントサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Connect あり あり なし なし あり あり
Amazon Pinpoint あり あり なし あり あり なし
Amazon Simple Email Service (Amazon SES) あり あり¹ あり あり あり² なし

¹ ses:SendEmail または ses:SendRawEmail など、E メールの送信に関連するアクションを参照するポリシーステートメントでのみリソースレベルのアクセス許可を使用できます。他のアクションを参照するポリシーステートメントについては、Resource 要素は * のみを含めることができます。

² 一時的セキュリティ認証情報をサポートしているのは、Amazon SES API のみです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。

エンドユーザーコンピューティングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon AppStream あり なし なし なし あり なし
Amazon AppStream 2.0 あり あり なし あり あり なし
Amazon WAM あり なし なし なし あり なし
Amazon WorkDocs あり なし なし なし あり なし
Amazon WorkLink あり あり あり なし あり あり
Amazon WorkSpaces あり あり なし あり あり なし

その他のリソース

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Billing and Cost Management あり なし なし なし あり なし
AWS Marketplace あり あり なし なし あり なし
AWS サポート なし なし なし なし あり あり