AWS Identity and Access Management
ユーザーガイド

IAM と連携する AWS のサービス

以下に一覧表示されている AWS のサービスは AWS 製品カテゴリ別にグループ化され、サポートする IAM 機能に関する情報を含んでいます。

  • サービス – サービスの名前を選択し、このサービスの IAM 認証とアクセスに関する AWS ドキュメントを表示できます。

  • アクション – ポリシーで個々のアクションを指定できます。サービスがこの機能をサポートしていない場合、ビジュアルエディタで [すべてのアクション] が選択されます。JSON ポリシードキュメントでは、* 要素に Action を使用する必要があります。各サービスのアクションのリストについては、「」を参照してください。

  • リソースレベルのアクセス許可ARN を使用してポリシーで個々のリソースを指定できます。サービスがこの機能をサポートしていない場合、ポリシービジュアルエディタで [すべてのリソース] が選択されます。JSON ポリシードキュメントでは、* 要素に Resource を使用する必要があります。List* アクションなど一部のアクションは、複数のリソースを返すように設計されているため、ARN の指定をサポートしていません。サービスがこの機能を一部のリソースでサポートしている場合は、その旨が表の黄色のセルに示されます。詳細については、該当するサービスのドキュメントを参照してください。

  • リソースベースのポリシー – リソースベースのポリシーをサービス内のリソースにアタッチできます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する Principal 要素が含まれます。詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

  • タグに基づいた承認 – ポリシーの条件にリソースタグを使用できます。たとえば、タグ付けした Amazon RDS リソースへのフルアクセスをタグの所有者に許可するポリシーを作成するとします。これを行うには、rds:db-tag/Owner などの条件キーを使用します。

  • 一時的認証情報 – フェデレーション、クロスアカウントロール、またはサービスロールを使用してサインインしたユーザーがこのサービスにアクセスできます。AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出して、一時的セキュリティ認証情報を取得します。詳細については、「一時的セキュリティ認証情報」を参照してください。

  • サービスにリンクされたロールサービスにリンクされたロールは、ユーザーに代わってアクションを完了するために、他のサービスのリソースにアクセスするアクセス許可をサービスに付与します。これらのロールをサポートするサービスのドキュメントを参照するには、Yes リンクを選択してください。詳細については、「サービスにリンクされたロールの使用」を参照してください。

  • 詳細情報 – サービスが機能を完全にサポートしていない場合は、エントリの脚注を確認して、制限および関連情報へのリンクを参照できます。

コンピューティングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Application Auto Scaling あり なし なし なし あり あり
AWS Auto Scaling あり なし なし なし あり あり
AWS Batch あり あり なし なし あり なし
Amazon Elastic Compute Cloud (Amazon EC2) あり あり なし あり あり あり ¹
Amazon EC2 Auto Scaling あり あり なし なし あり あり
AWS Elastic Beanstalk あり あり なし あり あり あり
Amazon Elastic Container Registry (Amazon ECR) あり あり あり なし あり なし
Amazon Elastic Container Service (Amazon ECS) あり あり なし なし あり あり
Amazon Elastic Kubernetes Service (Amazon EKS) あり なし なし なし あり なし
Amazon Elastic Inference あり あり あり なし なし なし
Elastic Load Balancing あり あり なし なし あり あり
AWS Lambda あり あり あり なし あり あり
Amazon Lightsail あり なし なし なし あり なし

¹ Amazon EC2 サービスにリンクされたロールは、AWS マネジメントコンソール を使用して作成することはできず、スケジュールされたインスタンススポットインスタンスリクエストスポットフリートリクエストの各機能にのみ使用できます。

ストレージサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Backup あり あり あり なし あり なし
Amazon Elastic Block Store (Amazon EBS) あり あり なし あり あり なし
Amazon Elastic File System (Amazon EFS) あり あり なし なし あり なし
Amazon S3 Glacier あり あり あり あり あり なし
AWS Import/Export あり なし なし なし あり なし
AWS Migration Hub あり あり なし なし あり なし
Amazon Simple Storage Service (Amazon S3) あり あり あり あり あり なし
AWS Snowball あり なし なし なし あり なし
AWS Snowball Edge あり なし なし なし なし なし
AWS Storage Gateway あり あり なし なし あり なし

データベースサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon DynamoDB あり あり なし なし あり あり
Amazon ElastiCache あり いいえ¹ なし なし あり あり
Amazon Redshift あり あり なし あり あり あり
Amazon Relational Database Service (Amazon RDS) あり あり なし あり あり あり
Amazon SimpleDB あり あり なし なし あり なし

¹ 2 つの API オペレーションで、クラスター/レプリケーショングループをシードするときに Amazon S3 ARN リソースを指定します。

開発者用ツールサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Cloud9 あり あり あり あり あり あり
CodeBuild あり あり なし なし あり なし
CodeCommit あり あり なし なし あり なし
AWS CodeDeploy あり あり なし なし あり なし
CodePipeline あり あり なし なし あり なし
AWS CodeStar あり はい¹ なし なし あり なし
AWS X-Ray あり なし なし なし あり なし

セキュリティ、アイデンティティ、およびコンプライアンスサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Artifact あり あり なし なし あり なし
AWS Certificate Manager (ACM) あり あり なし なし あり なし
AWS CloudHSM あり なし なし なし あり あり
AWS CloudHSM Classic あり なし なし なし なし なし
Amazon Cognito あり あり なし なし あり なし
AWS Directory Service あり なし なし なし あり なし
Amazon GuardDuty あり あり なし なし あり あり
AWS Identity and Access Management (IAM) あり あり はい¹ なし はい² なし
Amazon Inspector あり なし なし なし あり あり
AWS Key Management Service (AWS KMS) あり あり あり なし あり あり
Amazon Macie あり なし なし なし あり あり
AWS Organizations あり あり なし なし あり あり
AWS Secrets Manager あり あり あり あり あり なし
AWS セキュリティハブ あり あり なし なし あり あり
AWS シングルサインオン (AWS SSO) あり なし なし なし あり あり
AWS Security Token Service (AWS STS) あり あり ³ なし なし はい⁴ なし
AWS Shield アドバンスド あり なし なし なし あり なし
AWS WAF あり あり なし なし あり あり

¹ IAM では、ロールの信頼ポリシーと呼ばれるリソースベースのポリシーのタイプを 1 つのみサポートしています。このタイプは、IAM ロールにアタッチされます。詳細については、「ロールを切り替えるユーザーアクセス権限の付与」を参照してください。

² 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、「API オプションの比較」を参照してください。

³ AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、「一時的セキュリティ認証情報のアクセスを名前で拒否する」を参照してください。

⁴ 一時的な認証情報を使用した呼び出しは、AWS STS の一部の API オペレーションでのみサポートされています。詳細については、「API オプションの比較」を参照してください。

Machine Learning サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Comprehend あり なし なし なし あり なし
AWS DeepRacer あり なし なし なし あり あり
Amazon Lex あり あり なし なし あり あり
Amazon Machine Learning あり あり なし あり あり なし
Amazon Polly あり あり なし なし あり なし
Amazon Rekognition あり あり なし なし なし なし
Amazon SageMaker あり あり なし あり ¹ あり なし
Amazon Transcribe あり なし なし なし あり なし
Amazon Translate あり なし なし なし あり なし

¹ Amazon SageMaker は、InvokeEndpoint の呼び出しにタグベースの承認の使用をサポートしていません。

管理とガバナンスサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS CloudFormation あり あり なし なし あり なし
AWS CloudTrail あり あり なし なし あり なし
Amazon CloudWatch あり なし なし なし あり あり¹
Amazon CloudWatch Events あり あり なし なし あり なし
Amazon CloudWatch Logs あり あり なし なし あり なし
AWS Config あり はい² なし なし あり あり
AWS Health あり なし なし なし あり なし
AWS OpsWorks あり あり なし なし あり なし
AWS OpsWorks for Chef Automate あり あり なし なし あり なし
AWS Service Catalog あり なし なし なし あり なし
AWS Systems Manager あり あり なし あり あり あり
AWS Trusted Advisor あり³ あり なし なし はい⁴ あり

¹ Amazon CloudWatch サービスにリンクされたロールは AWS マネジメントコンソール を使用して作成することはできず、アラームアクション機能のみをサポートします。

² AWS Config は、マルチアカウント、マルチリージョンのデータ集約、および AWS Config ルールについて、リソースレベルのアクセス許可をサポートしています。サポートされているリソースのリストについては、AWS Config API ガイドの「マルチアカウントマルチリージョンのデータ集約」セクションおよび「AWS Config ルール」セクションを参照してください。

³ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによってコンソールされます。

⁴ Trusted Advisor は、タグ付け条件として、キーと値のペア用の ssm:resourceTagssm:Overwrite をサポートしています。

移行と転送のサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Application Discovery Service あり なし なし なし なし あり
AWS Database Migration Service あり あり なし あり あり なし
AWS Migration Hub あり あり なし なし あり なし

モバイルサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Amplify あり あり なし なし なし なし
AWS Device Farm あり なし なし なし あり なし
Amazon Pinpoint あり あり なし なし あり なし

ネットワーキングとコンテンツ配信サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon API Gateway あり あり あり なし あり なし

AWS App Mesh

あり なし なし なし あり なし

Amazon CloudFront

あり ¹ なし なし なし あり なし

AWS Cloud Map

あり なし なし なし あり なし
AWS Direct Connect あり なし なし なし あり なし

AWS Global Accelerator

あり あり なし なし あり なし
Amazon Route 53 あり あり なし なし あり なし
Amazon Virtual Private Cloud (Amazon VPC) あり あり ² あり ³ あり あり なし

¹ CloudFront では、CloudFront キーペアを作成するためのアクション レベルのアクセス許可がサポートされていません。CloudFront キーペアを作成するには AWS アカウントのルートユーザー を使用する必要があります。詳細については、『Amazon CloudFront 開発者ガイド』の「信頼された署名者の CloudFront キーペアを作成する」を参照してください。

² IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス許可を制限することはできません。Action または ec2:*VpcEndpoint* API アクションを含むいずれの ec2:DescribePrefixLists エレメントにも、""Resource": "*"" を指定する必要があります。詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントの使用の管理」を参照してください。

³ Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスをコントロールする方法の詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントポリシーの使用」を参照してください。

メディアサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Elastic Transcoder あり あり なし なし あり なし
AWS Elemental MediaConnect あり あり なし なし あり なし
AWS Elemental MediaConvert あり あり なし なし あり なし
AWS Elemental MediaStore あり あり あり なし あり なし
AWS Elemental MediaTailor あり あり なし なし あり なし
Kinesis ビデオストリーム あり あり なし なし あり No

デスクトップとアプリのストリーミングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon AppStream あり なし なし なし あり なし
Amazon AppStream 2.0 あり なし なし なし あり なし
Amazon WorkSpaces あり あり なし なし あり なし
Amazon WAM あり なし なし なし あり なし

分析サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Athena あり なし なし なし あり なし
Amazon CloudSearch あり あり なし なし あり なし
AWS Data Pipeline あり なし なし あり あり なし
Amazon Elasticsearch Service あり あり あり なし あり あり
Amazon EMR あり なし なし あり あり あり
AWS Glue あり あり あり なし あり なし
Amazon Kinesis Data Analytics あり あり なし なし あり なし
Amazon Kinesis Data Firehose あり あり なし なし あり なし
Amazon Kinesis Data Streams あり あり なし なし あり なし
Amazon QuickSight あり なし なし なし なし なし

アプリケーション統合サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon MQ あり なし なし なし あり なし
Amazon Simple Email Service (Amazon SES) あり はい¹ なし なし はい² なし
Amazon Simple Notification Service (Amazon SNS) あり あり あり なし あり なし
Amazon Simple Queue Service (Amazon SQS) あり あり あり なし あり なし
Amazon Simple Workflow Service (Amazon SWF) あり あり なし あり あり なし

¹ Amazon SES は特定の SES ID に対するアクセス許可を送信者に委任するポリシーで、リソースレベルのアクセス許可をサポートします。

² 一時的セキュリティ認証情報をサポートしているのは、Amazon SES API のみです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。

ビジネスアプリケーションサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Alexa for Business あり あり なし あり あり なし
Amazon WorkDocs あり なし なし なし あり なし
Amazon WorkMail あり なし なし なし あり なし

IoT サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS IoT Greengrass あり あり なし なし あり なし
AWS IoT あり あり あり ¹ あり あり なし
AWS IoT Things Graph あり なし なし なし あり なし

¹ AWS IoT に接続されたデバイスは、X.509 証明書または Amazon Cognito ID を使用して認証されます。X.509 証明書または Amazon Cognito ID に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、『AWS IoT 開発者ガイド』の「AWS IoT の セキュリティと ID」を参照してください。

ロボットサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
RoboMaker あり あり なし なし なし あり

ゲーム開発サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon GameLift あり なし なし なし あり なし

AR および VR サービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Sumerian あり あり なし なし あり なし

顧客エンゲージメントサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon Connect あり あり なし なし あり あり

エンドユーザーコンピューティングサービス

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
Amazon WorkLink あり あり あり なし あり なし

その他のリソース

サービス アクション リソースレベルのアクセス許可 リソースベースのポリシー タグに基づいた承認 一時認証情報 サービスにリンクされたロール
AWS Billing and Cost Management あり なし なし なし あり なし
AWS Marketplace あり あり なし なし あり なし
AWS サポート なし なし なし なし あり あり