メニュー
AWS Identity and Access Management
ユーザーガイド

IAM と連携する AWS サービス

以下に一覧されている AWS のサービスは AWS 製品カテゴリ別にグループ化され、サポートする IAM 機能に関する情報を含んでいます。

  • サービス – サービスの名前を選択してそのサービスの AWS ドキュメントを表示できます。

  • アクション – ポリシー内で個別のアクションを指定できます。サービスがこの機能をサポートしていない場合、ビジュアルエディタで [すべてのアクション] が選択されます。JSON ポリシードキュメントでは、Action 要素に * を使用する必要があります。各サービスのアクションのリストについては、「IAM ポリシーで使用できる AWS サービスアクションと条件コンテキストキー」を参照してください。

  • リソースレベルのアクセス許可ARN を使用してポリシー内で個別のリソースを指定できます。サービスがこの機能をサポートしていない場合、ポリシービジュアルエディタで [すべてのリソース] が選択されます。JSON ポリシードキュメントでは、Resource 要素に * を使用する必要があります。サービスがこの機能を一部のリソースでサポートしている場合は、その旨がテーブルの脚注に示されます。

  • リソースベースのポリシー – リソースベースのポリシーをサービス内のリソースにアタッチできます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する Principal 要素が含まれます。詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

  • タグに基づいた許可 – ポリシーの条件にリソースタグを使用できます。たとえば、タグの所有者に対して、タグ付けされた Amazon RDS リソースへのフルアクセスを許可するポリシーを作成するとします。これを行うには、rds:db-tag/Owner などの条件キーを使用します。

  • 一時認証情報 – フェデレーション、クロスアカウントロール、またはサービスロールを使用してサインインしたユーザーがこのサービスにアクセスできます。AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出して、一時的なセキュリティ認証情報を取得します。詳細については、「一時的セキュリティ認証情報」を参照してください。

  • サービスにリンクされたロールサービスにリンクされたロールは、ユーザーに代わってアクションを完了するために、他のサービスのリソースにアクセスするアクセス権限をサービスに付与します。これらのロールをサポートするサービスのドキュメントを参照するには、Yes リンクを選択してください。詳細については、「サービスにリンクされたロールの使用」を参照してください。

  • 詳細情報 – サービスが機能を完全にサポートしていない場合は、エントリの脚注を確認して、制限および関連情報へのリンクを参照できます。

コンピューティングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
アプリケーションの Auto Scaling Yes Yes No No Yes Yes
Amazon EC2 Auto Scaling Yes Yes No No Yes No
AWS Batch Yes No No No Yes No
Amazon Elastic Compute Cloud(Amazon EC2) Yes はい¹ No はい¹ Yes Yes²
AWS Elastic Beanstalk Yes はい³ No No Yes Yes
Amazon Elastic Container Registry (Amazon ECR) Yes Yes Yes No Yes No
Amazon Elastic Container Service (Amazon ECS) Yes はい⁴ No No Yes Yes
Elastic Load Balancing Yes はい⁵ No No Yes Yes
AWS Lambda Yes Yes はい⁶ No Yes No
Amazon Lightsail Yes No No No Yes No

¹ Amazon EC2 は、一部の API に対してのみリソースレベルのアクセス権限とタグをサポートします。詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 API アクションでサポートされるリソースと条件」を参照してください。

² Amazon EC2 サービスにリンクされたロールは、AWS マネジメントコンソール を使用して作成することはできず、次の機能にのみ使用できます。スケジュールされたインスタンススポットインスタンスリクエストスポットフリートリクエスト

³ 特定のリソースに対するアクセス権限として使用できるのは、Elastic Beanstalk の一部の API アクションのみです。詳細については、『AWS Elastic Beanstalk 開発者ガイド』の「Elastic Beanstalk アクションのリソースと条件」を参照してください。

⁴ Amazon ECS は、一部の API に対してのみリソースレベルのアクセス権限をサポートします。詳細については、『Amazon Elastic Container Service Developer Guide』の「Amazon ECS API アクションでサポートされるリソースレベルのアクセス権限」を参照してください。

⁵ 特定のリソースに対するアクセス権限として使用できるのは、Elastic Load Balancing の一部の API アクションのみです。詳細については、Elastic Load Balancing ユーザーガイド にある「ロードバランサーへのアクセスを制御する」を参照してください。

⁶ リソースベースのポリシーで特定できる唯一の AWS Lambda API アクションは lambda:InvokeFunction です。詳細については、AWS Lambda Developer Guideの「AWS Lambda でリソースベースのポリシーを使用する (Lambda 関数ポリシー)」を参照してください。

ストレージおよび移行サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon Elastic Block Store(Amazon EBS) Yes はい¹ No Yes Yes No
Amazon Elastic File System (Amazon EFS) Yes Yes No No Yes No
Amazon Glacier Yes Yes Yes Yes Yes No
AWS Import/Export Yes No No No Yes No
AWS Migration Hub Yes Yes No No Yes No
Amazon Simple Storage Service (Amazon S3) Yes Yes Yes Yes Yes No
AWS Snowball Yes No² No No Yes No
AWS Snowball Edge Yes No³ No No No No
AWS Storage Gateway Yes Yes No No Yes No

¹ リソースレベルのアクセス権限をサポートする EBS アクションの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Amazon EC2 API アクションでサポートされるリソースと条件」を参照してください。

² 関連サービス (Amazon S3) の ARN を指定します。

³ 関連サービス (Amazon S3、AWS Lambda、AWS Greengrass) の ARN を指定します。

データベースサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS Database Migration Service Yes Yes No Yes Yes No
Amazon DynamoDB Yes Yes No No Yes No
Amazon ElastiCache Yes No¹ No No Yes Yes
Amazon Redshift Yes Yes No Yes Yes Yes
Amazon Relational Database Service (Amazon RDS) Yes Yes No Yes Yes Yes
Amazon SimpleDB Yes Yes No No Yes No

¹ 2 つの API は、クラスター/レプリケーショングループをシードするときに Amazon S3 ARN リソースを指定します。

ネットワーキングとコンテンツ配信サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon API Gateway Yes Yes No No Yes No

Amazon CloudFront

はい¹ No No No Yes No
AWS Direct Connect Yes No No No Yes No
Amazon Route 53 Yes Yes No No Yes No
Amazon Virtual Private Cloud (Amazon VPC) Yes Yes² はい³ Yes Yes No

¹ CloudFront では、CloudFront キーペアを作成するためのアクション レベルのアクセス権限がサポートされていません。CloudFront キーペアを作成するには AWS アカウントのルートユーザー を使用する必要があります。詳細については、Amazon CloudFront 開発者ガイドの「信頼された署名者の CloudFront キーペアを作成する」を参照してください。

² IAM ユーザーポリシーでは、特定の Amazon VPC エンドポイントへのアクセス許可を制限することはできません。ec2:*VpcEndpoint* または ec2:DescribePrefixLists API アクションを含むいずれの Action エレメントにも、""Resource": "*"" を指定する必要があります。詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントの使用の管理」を参照してください。

³ Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスを制御する方法の詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントポリシーの使用」を参照してください。

開発者用ツールおよびサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS Cloud9 Yes Yes Yes Yes Yes Yes
AWS CodeBuild Yes Yes No No Yes No
AWS CodeCommit Yes Yes No No Yes No
AWS CodeDeploy Yes Yes No No Yes No
AWS CodePipeline Yes はい¹ No No Yes No
AWS CodeStar Yes はい¹ No No No No

¹ 特定のリソースに対する権限として使用できるのは、AWS CodePipeline の一部の API アクションのみです。詳細については、『AWS CodePipeline ユーザーガイド』の「AWS CodePipeline リソースおよびオペレーション」を参照してください。

管理ツールおよびサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS CloudFormation Yes Yes No No Yes No
AWS CloudTrail Yes Yes No No Yes No
Amazon CloudWatch Yes No No No Yes はい¹
Amazon CloudWatch Events Yes Yes No No Yes No
Amazon CloudWatch Logs Yes Yes No No Yes No
AWS Config Yes No No No Yes No
AWS Health Yes No No No Yes No
AWS OpsWorks Yes Yes Yes No Yes No
AWS OpsWorks for Chef Automate Yes Yes Yes No Yes No
AWS Service Catalog Yes No No No Yes No
AWS Trusted Advisor Yes² Yes No No Yes² No

¹ Amazon CloudWatch サービスにリンクされたロールは AWS マネジメントコンソール を使用して作成することはできず、アラームアクション機能のみをサポートします。

² API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによって制御されます。

メディアサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon Elastic Transcoder Yes Yes No No Yes No
AWS Elemental MediaPackage Yes Yes No No Yes No
AWS Elemental MediaStore Yes Yes No No Yes No
AWS Elemental MediaTailor Yes Yes Yes No Yes No
Kinesis ビデオストリーム Yes Yes No No No No

Machine Learning サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon Comprehend Yes No No No Yes No
Amazon Lex Yes Yes No No Yes Yes
Amazon Machine Learning Yes Yes No Yes Yes No
Amazon Polly Yes Yes No No Yes No
Amazon Rekognition Yes Yes No No No No
Amazon Transcribe Yes No No No Yes No
Amazon Translate Yes No No No Yes No

分析サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon CloudSearch Yes Yes No No Yes No
AWS Data Pipeline Yes No No Yes Yes No
Amazon Elasticsearch Service Yes Yes Yes No Yes Yes
Amazon EMR Yes No No Yes Yes Yes
AWS Glue Yes No No No No No
Amazon Kinesis Data Analytics Yes Yes No No Yes No
Amazon Kinesis Data Firehose Yes Yes No No Yes No
Amazon Kinesis Data Streams Yes Yes No No Yes No
Amazon QuickSight Yes No No No No No

セキュリティ、アイデンティティ、およびコンプライアンスサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS Artifact Yes Yes No No Yes No
AWS Certificate Manager(ACM) Yes Yes No No Yes No
AWS CloudHSM Yes No No No Yes No
AWS CloudHSM Classic Yes No No No No No
Amazon Cognito Yes Yes No No Yes No
AWS Directory Service Yes No No No Yes No
Amazon GuardDuty Yes Yes No No No はい¹
AWS Identity and Access Management (IAM) Yes Yes No No Yes² No
Amazon Inspector Yes No No No Yes No
AWS Key Management Service(AWS KMS) Yes Yes Yes No Yes No
AWS Organizations Yes Yes No No Yes No
AWS シングルサインオン (AWS SSO) Yes No Yes No Yes No
AWS Security Token Service(AWS STS) Yes はい³ No No はい⁴ No
AWS Shield アドバンスド Yes No No No Yes No
AWS WAF Yes Yes No No Yes No

¹ GuardDuty は、IAM コンソールを使用してサービスにリンクされたロールの作成をサポートしていません。

² 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、API オプションの比較を参照してください。

³ AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、一時的なセキュリティ認証情報のアクセスを名前で拒否するを参照してください。

⁴ AWS STS の一部の API のみが一時的な認証情報を使用した呼び出しをサポートしています。詳細については、API オプションの比較を参照してください

モバイルサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS Device Farm Yes No No No Yes No
Amazon Mobile Analytics Yes No No No Yes No
AWS Mobile Hub Yes Yes No No Yes No
Amazon Pinpoint Yes Yes No No Yes No

アプリケーション統合サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon MQ Yes No No No Yes No
Amazon Simple Email Service (Amazon SES) Yes はい¹ No No Yes² No
Amazon Simple Notification Service(Amazon SNS) Yes Yes Yes No Yes No
Amazon Simple Queue Service(Amazon SQS) Yes Yes Yes No Yes No
Amazon Simple Workflow Service(Amazon SWF) Yes Yes No Yes Yes No

¹ Amazon SES は特定の SES ID にアクセスする権限を送信者に委任するポリシーで、リソースレベルのアクセス権限をサポートします。

² 一時的なセキュリティ認証情報をサポートしているのは、Amazon SES API だけです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。

ビジネス生産性サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Alexa for Business Yes Yes No Yes Yes No
Amazon WorkDocs Yes No No No Yes No
Amazon WorkMail Yes No No No Yes No

デスクトップとアプリのストリーミングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon AppStream Yes No No No Yes No
Amazon AppStream 2.0 Yes No No No Yes No
Amazon WorkSpaces Yes Yes No No Yes No
Amazon WAM Yes No No No Yes No

IoT サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS Greengrass Yes Yes Yes No Yes No
AWS IoT はい¹ Yes² はい³ No Yes No

¹ AWS IoT アクションレベルのアクセス権限の詳細については、『AWS IoT ユーザーガイド』の「AWS IoT ポリシーアクション」を参照してください。

² リソースレベルのアクセス権限をサポートしている AWS IoT アクションと、それぞれに指定できるリソースの詳細については、『AWS IoT 開発者ガイド』の「アクションリソース」を参照してください。

³ AWS IoT に接続されたデバイスは、X.509 証明書を使って認証されます。X.509 証明書に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、『AWS IoT 開発者ガイド』の「AWS IoT ポリシーの作成」を参照してください。

ゲーム開発サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
Amazon GameLift Yes No No No Yes No

ソフトウェアサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS Marketplace Yes Yes No No Yes No

その他のリソース

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた許可 一時認証情報 サービスにリンクされたロール
AWS Billing and Cost Management Yes No No No Yes No
AWS サポート No No No No Yes No