IAM と連携する AWS のサービス - AWS Identity and Access Management

IAM と連携する AWS のサービス

以下に一覧表示されている AWS のサービスは AWS 製品カテゴリー別にグループ化され、サポートする IAM 機能に関する情報を含んでいます。

  • サービス – サービスの名前を選択し、このサービスの IAM 認証とアクセスに関する AWS ドキュメントを表示できます。

  • アクション – ポリシーで個々のアクションを指定できます。サービスがこの機能をサポートしていない場合、ビジュアルエディタで [すべてのアクション] が選択されます。JSON ポリシードキュメントでは、* 要素に Action を使用する必要があります。各サービスのアクションのリストについては、「AWS のサービスのアクション、リソース、および条件キー」を参照してください。

  • リソースレベルのアクセス許可ARN を使用してポリシーで個々のリソースを指定できます。サービスがこの機能をサポートしていない場合、ポリシービジュアルエディタで [すべてのリソース] が選択されます。JSON ポリシードキュメントでは、* 要素に Resource を使用する必要があります。List* アクションなど一部のアクションは、複数のリソースを返すように設計されているため、ARN の指定をサポートしていません。サービスがこの機能を一部のリソースでサポートしている場合は、その旨が表の黄色のセルに示されます。詳細については、該当するサービスのドキュメントを参照してください。

  • リソースベースのポリシー – リソースベースのポリシーをサービス内のリソースにアタッチできます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する Principal 要素が含まれます。詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

  • タグに基づく承認 – ポリシーの条件でリソースタグを使用して、サービス内のリソースへのアクセスを制御できます。これを行うには、aws:ResourceTag グローバル条件キー、または ec2:ResourceTag などのサービス固有のタグを使用します。タグなどの属性に基づくアクセス許可の定義の詳細については、「AWS の ABAC とは」を参照してください。

  • 一時的認証情報 – フェデレーション、クロスアカウントロール、またはサービスロールを使用してサインインしたユーザーがこのサービスにアクセスできます。AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出して、一時的セキュリティ認証情報を取得します。詳細については、「一時的セキュリティ認証情報」を参照してください。

  • サービスにリンクされたロールサービスにリンクされたロールは、ユーザーに代わってアクションを完了するために、他のサービスのリソースにアクセスするアクセス許可をサービスに付与します。これらのロールをサポートするサービスのドキュメントを参照するには、Yes リンクを選択してください。詳細については、「サービスにリンクされたロールの使用」を参照してください。

  • 詳細情報 – サービスが機能を完全にサポートしていない場合は、エントリの脚注を確認して、制限および関連情報へのリンクを参照できます。

コンピューティングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Batch あり あり なし なし あり なし
Amazon Elastic Compute Cloud (Amazon EC2) あり あり なし あり あり あり ¹
Amazon EC2 Auto Scaling あり あり なし あり あり あり
Amazon EC2 Image Builder あり あり なし あり あり なし
AWS Elastic Beanstalk あり あり なし あり あり あり
Amazon Elastic Container Registry (Amazon ECR) あり あり あり あり あり なし
Amazon Elastic Container Service (Amazon ECS) あり あり² なし あり あり あり
Amazon Elastic Kubernetes Service (Amazon EKS) あり あり なし あり あり あり
Amazon Elastic Inference あり あり あり なし なし なし
Elastic Load Balancing あり あり なし あり あり あり
AWS Lambda あり あり あり なし あり あり³
Amazon Lightsail あり あり なし あり あり なし
AWS Outposts あり あり なし あり あり なし
AWS Serverless Application Repository あり あり あり なし あり なし

¹ Amazon EC2 サービスにリンクされたロールは、AWS マネジメントコンソール を使用して作成することはできず、スケジュールされたインスタンススポットインスタンスリクエストスポットフリートリクエストの各機能にのみ使用できます。

² 一部の Amazon EC2 アクションのみが、リソースレベルのアクセス許可をサポートします

³ AWS Lambda にはサービスにリンクされたロールはありませんが、Lambda@Edge にはあります。詳細については、Amazon CloudFront 開発者ガイドの「Lambda@Edge のサービスにリンクされたロール」を参照してください。

ストレージサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Backup あり あり あり なし あり なし
AWS Backup ストレージ あり あり なし なし あり なし
Amazon Elastic Block Store (Amazon EBS) あり あり なし あり あり なし
Amazon Elastic File System (Amazon EFS) あり あり あり あり あり あり
Amazon FSx あり あり あり あり あり あり
Amazon S3 Glacier あり あり あり あり あり なし
AWS Import/Export あり なし なし なし あり なし
Amazon Simple Storage Service (Amazon S3) あり あり あり あり¹ あり なし
AWS Snowball あり なし なし なし あり なし
AWS Snowball Edge あり なし なし なし なし なし
AWS Storage Gateway あり あり なし あり あり なし

¹ Amazon S3 はオブジェクトリソースに対してのみタグベースの認証をサポートしています。

データベースサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon DynamoDB あり あり なし なし あり あり
Amazon ElastiCache あり なし¹ なし なし あり あり
AWS Managed Apache Cassandra Service (MCS) あり あり なし あり あり あり
Amazon Quantum Ledger Database (Amazon QLDB) あり あり なし あり あり なし
Amazon Redshift あり あり なし なし あり あり
Amazon Relational Database Service (Amazon RDS) あり あり なし あり あり あり
Amazon RDS Data API あり なし なし なし あり なし
Amazon SimpleDB あり あり なし なし あり なし

¹ ポリシー内の ElastiCache リソースの ARN を指定することはできませんが、クラスターまたはレプリケーションをシードするときに、ElastiCache アクションで Amazon S3 ARNを指定できます。

開発者用ツールサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Cloud9 あり あり あり あり あり あり
CodeBuild あり あり あり¹ はい² あり なし
CodeCommit あり あり なし あり あり なし
AWS CodeDeploy あり あり なし なし あり なし
CodePipeline あり あり なし あり あり なし
AWS CodeStar あり あり¹ なし あり あり なし
AWS CodeStar Notifications あり あり なし あり あり あり
AWS X-Ray あり あり なし なし あり なし

¹ CodeBuild は、AWS RAM によりアカウント間のリソース共有をサポートします。

² CodeBuild は、プロジェクトベースのアクションのタグに基づいて承認をサポートします。

セキュリティ、アイデンティティ、およびコンプライアンスサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Certificate Manager Private Certificate Authority (ACM) あり あり なし あり あり なし
AWS Artifact あり あり なし なし あり なし
AWS Certificate Manager (ACM) あり あり なし あり あり なし
AWS CloudHSM あり あり なし あり あり あり
AWS CloudHSM Classic あり なし なし なし なし なし
Amazon Cognito あり あり なし あり あり あり
Amazon Detective あり あり なし なし あり なし
AWS Directory Service あり あり なし あり あり なし
AWS Firewall Manager あり あり あり あり あり あり
Amazon GuardDuty あり あり なし なし あり あり
AWS Identity and Access Management (IAM) あり あり あり¹ あり² あり³ なし
IAM Access Analyzer あり あり なし あり あり あり
Amazon Inspector あり なし なし なし あり あり
AWS Key Management Service (AWS KMS) あり あり あり なし あり あり
Amazon Macie あり なし なし なし あり あり
AWS Resource Access Manager (AWS RAM) あり あり なし あり あり なし
AWS Secrets Manager あり あり あり あり あり なし
AWS セキュリティハブ あり あり なし あり あり あり
AWS シングルサインオン (AWS SSO) あり なし なし なし あり あり
AWS SSO ディレクトリ あり なし なし なし あり なし
AWS Security Token Service (AWS STS) あり はい⁴ なし あり はい⁵ なし
AWS Shield アドバンスド あり あり なし なし あり なし
AWS WAF あり あり なし なし あり あり
AWS WAFV2 あり あり なし あり あり なし

¹ IAM では、ロールの信頼ポリシーと呼ばれるリソースベースのポリシーのタイプを 1 つのみサポートしています。このタイプは、IAM ロールにアタッチされます。詳細については、「ロールを切り替えるユーザーアクセス権限の付与」を参照してください。

² IAM はユーザーとロールのリソースに対してのみタグベースのアクセスコントロールをサポートしています。

³ 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、「API オプションの比較」を参照してください。

⁴ AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、「一時的セキュリティ認証情報のアクセスを名前で拒否する」を参照してください。

⁵ 一時的な認証情報を使用した呼び出しは、AWS STS の一部の API オペレーションでのみサポートされています。詳細については、「API オプションの比較」を参照してください。

Machine Learning サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon CodeGuru あり なし なし なし あり あり
Amazon CodeGuru Profiler あり あり なし なし あり なし
Amazon CodeGuru Reviewer あり あり なし あり あり あり
Amazon Comprehend あり あり なし あり あり なし
AWS DeepComposer あり あり なし なし あり なし
AWS DeepRacer あり なし なし なし あり あり
Forecast あり あり なし なし あり なし
Amazon Fraud Detector あり なし なし なし あり なし
Ground Truth のラベル付け あり なし なし なし あり なし
Amazon Kendra あり あり なし あり あり なし
Amazon Lex あり あり なし あり あり あり
Amazon Machine Learning あり あり なし あり あり なし
Amazon Personalize あり あり なし なし あり なし
Amazon Polly あり あり なし なし あり なし
Amazon Rekognition あり あり なし なし あり なし
Amazon SageMaker あり あり なし あり あり なし
Amazon Textract あり あり なし なし なし なし
Amazon Transcribe あり なし なし なし あり なし
Amazon Translate あり なし なし なし あり なし

管理とガバナンスサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Application Auto Scaling あり なし なし なし あり あり
AWS AppConfig あり あり なし あり あり なし
AWS Auto Scaling あり なし なし なし あり あり
AWS Chatbot あり あり なし なし あり あり
AWS CloudFormation あり あり なし あり あり なし
AWS CloudTrail あり あり なし なし あり なし
Amazon CloudWatch あり あり なし あり あり あり¹
Amazon CloudWatch Events あり あり なし あり あり なし
Amazon CloudWatch Logs あり あり あり なし あり なし
Amazon CloudWatch Synthetics あり あり なし なし あり なし
AWS Compute Optimizer あり なし なし なし あり あり
AWS Config あり あり² なし あり あり あり
Amazon Data Lifecycle Manager あり あり なし あり あり なし
AWS Health あり あり なし なし あり なし
AWS OpsWorks あり あり なし あり あり なし
AWS OpsWorks for Chef Automate あり あり なし あり あり なし
AWS Organizations あり あり なし なし あり あり
AWS リソースグループ あり あり なし あり あり³ なし
リソースグループ Tagging API あり なし なし なし あり なし
AWS Service Catalog あり なし なし はい⁴ あり なし
AWS Systems Manager あり あり なし あり あり あり
AWS Trusted Advisor はい⁵ あり なし なし あり あり
AWS Well-Architected Tool あり あり なし なし あり なし

¹ Amazon CloudWatch サービスにリンクされたロールは AWS マネジメントコンソール を使用して作成することはできず、アラームアクション機能のみをサポートします。

² AWS Config は、マルチアカウント、マルチリージョンのデータ集約、および AWS Config ルールについて、リソースレベルのアクセス許可をサポートしています。サポートされているリソースのリストについては、AWS Config API ガイドの「マルチアカウントマルチリージョンのデータ集約」セクションおよび「AWS Config ルール」セクションを参照してください。

³ ユーザーは、AWS リソースグループ オペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。

⁴ AWS Service Catalog は、API オペレーションを入力内の 1 つのリソースと一致させるアクションに対してのみタグベースのアクセスコントロールをサポートしています。

⁵ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによって制御されます。

移行と転送のサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Application Discovery Service あり なし なし なし なし あり
AWS Connector Service あり なし なし なし あり なし
AWS Database Migration Service あり あり あり¹ あり あり なし
AWS Migration Hub あり あり なし なし あり なし
AWS Server Migration Service あり なし なし なし あり あり

¹ サポートされているターゲットエンドポイントに移行されるデータを暗号化するために作成した AWS KMS 暗号化キーにアタッチされているポリシーを作成および変更できます。サポートされているターゲットエンドポイントには Amazon Redshift や Amazon S3 があります。詳細については、AWS Database Migration Service ユーザーガイドの「Amazon Redshift ターゲットデータを暗号化する AWS KMS キーの作成と使用」と「Amazon S3 ターゲットオブジェクトを暗号化する AWS KMS キーの作成」を参照してください。

モバイルサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Amplify あり あり なし あり あり なし
AWS Device Farm あり あり なし あり あり なし

ネットワーキングとコンテンツ配信サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon API Gateway あり あり あり あり あり あり

AWS App Mesh

あり あり なし あり あり あり

Amazon CloudFront

はい¹ あり なし あり あり あり⁴

AWS Cloud Map

あり あり なし なし あり なし
AWS Direct Connect あり あり なし あり あり なし
AWS Global Accelerator あり あり なし あり あり あり
Network Manager あり あり あり あり あり あり
Amazon Route 53 あり あり なし なし あり なし
Amazon Route 53 リゾルバー あり あり なし あり あり なし
Amazon Virtual Private Cloud (Amazon VPC) あり あり² あり³ なし あり なし

¹ CloudFront では、CloudFront キーペアを作成するためのアクション レベルのアクセス許可がサポートされていません。CloudFront キーペアを作成するには AWS アカウントのルートユーザー を使用する必要があります。詳細については、Amazon CloudFront 開発者ガイドの「信頼された署名者の CloudFront キーペアを作成する」を参照してください。

² IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス許可を制限することはできません。ec2:*VpcEndpoint* または ec2:DescribePrefixLists API アクションを含むいずれの Action エレメントにも、""Resource": "*"" を指定する必要があります。詳細については、Amazon VPC ユーザーガイドの「エンドポイントの使用の管理」を参照してください。

³ Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスをコントロールする方法の詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントポリシーの使用」を参照してください。

⁴ Amazon CloudFront にはサービスにリンクされたロールはありませんが、Lambda@Edge にはあります。詳細については、Amazon CloudFront 開発者ガイドの「Lambda@Edge のサービスにリンクされたロール」を参照してください。

メディアサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Elastic Transcoder あり あり なし なし あり なし
AWS Elemental MediaConnect あり あり なし なし あり なし
AWS Elemental MediaConvert あり あり なし あり あり なし
AWS Elemental MediaLive あり あり あり あり あり なし
AWS Elemental MediaPackage あり あり なし あり あり なし
AWS Elemental MediaPackage VOD あり あり なし あり あり なし
AWS Elemental MediaStore あり あり あり なし あり なし
AWS Elemental MediaTailor あり あり なし あり あり なし
Kinesis ビデオストリーム あり あり なし あり あり なし

分析サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Athena あり あり なし あり あり なし
Amazon CloudSearch あり あり なし なし あり なし
AWS Data Exchange あり あり なし あり あり なし
AWS Data Pipeline あり なし なし あり あり なし
Amazon Elasticsearch Service あり あり あり なし あり あり
Amazon EMR あり あり なし あり あり あり
AWS Glue あり あり あり あり あり なし
Amazon Kinesis Data Analytics あり あり なし あり あり なし
Amazon Kinesis Data Firehose あり あり なし あり あり なし
Amazon Kinesis Data Streams あり あり なし なし あり なし
AWS Lake Formation あり なし なし なし あり あり
Amazon Managed Streaming for Apache Kafka (MSK) あり あり なし あり あり なし
Amazon QuickSight あり あり なし なし あり なし

アプリケーション統合サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon AppFlow あり あり なし あり あり なし
Amazon EventBridge あり あり なし あり あり なし
Amazon EventBridge スキーマ あり あり なし あり あり なし
Amazon MQ あり あり なし あり あり なし
Amazon Simple Notification Service (Amazon SNS) あり あり あり なし あり なし
Amazon Simple Queue Service (Amazon SQS) あり あり あり なし あり なし
AWS Step Functions あり あり なし あり あり なし
Amazon Simple Workflow Service (Amazon SWF) あり あり なし あり あり なし

ビジネスアプリケーションサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Alexa for Business あり あり なし なし あり なし
Amazon Chime あり あり なし なし あり あり
Amazon WorkMail あり あり なし あり あり あり

Satellite Services

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Ground Station あり あり なし あり あり なし

IoT サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS IoT Greengrass あり あり なし あり あり なし
AWS IoT あり あり あり¹ あり あり なし
AWS IoT Analytics あり あり なし あり あり なし
AWS IoT Device Tester あり なし なし なし あり なし
AWS IoT イベント あり あり なし あり あり なし
AWS IoT SiteWise あり あり なし あり あり あり
AWS IoT Things Graph あり なし なし なし あり なし
FreeRTOS あり あり なし あり あり なし

¹ AWS IoT に接続されたデバイスは、X.509 証明書または Amazon Cognito ID を使用して認証されます。X.509 証明書または Amazon Cognito ID に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、AWS IoT 開発者ガイドの「AWS IoT の セキュリティと ID」を参照してください。

ロボットサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
RoboMaker あり あり なし あり なし あり

ブロックチェーンサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Managed Blockchain あり あり なし なし あり なし

ゲーム開発サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon GameLift あり はい なし あり あり なし

AR および VR サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Sumerian あり あり なし なし あり なし

顧客イネーブルメントサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS IQ あり なし なし なし あり なし
AWS IQ アクセス許可 なし なし なし なし あり なし
AWS サポート あり なし なし なし あり あり

顧客エンゲージメントサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Connect あり あり なし なし あり あり
Amazon Pinpoint あり あり なし あり あり なし
Amazon Simple Email Service (Amazon SES) あり あり¹ あり あり あり² なし

¹ ses:SendEmail または ses:SendRawEmail など、E メールの送信に関連するアクションを参照するポリシーステートメントでのみリソースレベルのアクセス許可を使用できます。他のアクションを参照するポリシーステートメントについては、Resource 要素は * のみを含めることができます。

² 一時的セキュリティ認証情報をサポートしているのは、Amazon SES API のみです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。

エンドユーザーコンピューティングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon AppStream あり なし なし なし あり なし
Amazon AppStream 2.0 あり あり なし あり あり なし
Amazon WAM あり なし なし なし あり なし
Amazon WorkDocs あり なし なし なし あり なし
Amazon WorkLink あり あり なし なし あり あり
Amazon WorkSpaces あり あり なし あり あり なし

その他のリソース

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Billing and Cost Management あり なし なし なし あり なし
AWS Marketplace あり なし なし なし あり なし
AWS Marketplace カタログ あり あり なし なし あり なし
AWS Private Marketplace あり なし なし なし なし No