IAM と連携する AWS のサービス
以下に一覧表示されている AWS のサービスは AWS 製品カテゴリー
-
サービス – サービスの名前を選択し、このサービスの IAM 認証とアクセスに関する AWS ドキュメントを表示できます。
-
アクション – ポリシーで個々のアクションを指定できます。サービスがこの機能をサポートしていない場合、ビジュアルエディタで [すべてのアクション] が選択されます。JSON ポリシードキュメントでは、
*
要素にAction
を使用する必要があります。各サービスのアクションのリストについては、「AWS のサービスの アクション、リソース、および条件キー」を参照してください。 -
リソースレベルのアクセス許可 – ARN を使用してポリシーで個々のリソースを指定できます。サービスがこの機能をサポートしていない場合、ポリシービジュアルエディタで [すべてのリソース] が選択されます。JSON ポリシードキュメントでは、
*
要素にResource
を使用する必要があります。List*
アクションなど一部のアクションは、複数のリソースを返すように設計されているため、ARN の指定をサポートしていません。サービスがこの機能を一部のリソースでサポートしている場合は、その旨が表の黄色のセルに示されます。詳細については、該当するサービスのドキュメントを参照してください。 -
リソースベースのポリシー – リソースベースのポリシーをサービス内のリソースにアタッチできます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する
Principal
要素が含まれます。詳細については、「アイデンティティベースのポリシーおよびリソースベースのポリシー」を参照してください。 -
タグに基づく承認 – ポリシーの条件でリソースタグを使用して、サービス内のリソースへのアクセスを制御できます。これを行うには、aws:ResourceTag グローバル条件キー、または
ec2:ResourceTag
などのサービス固有のタグを使用します。タグなどの属性に基づくアクセス許可の定義の詳細については、「AWS の ABAC とは」を参照してください。 -
一時的認証情報 – フェデレーション、クロスアカウントロール、またはサービスロールを使用してサインインしたユーザーがこのサービスにアクセスできます。AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出して、一時的セキュリティ認証情報を取得します。詳細については、「IAM の一時的なセキュリティ認証情報」を参照してください。
-
サービスにリンクされたロール – サービスにリンクされたロールは、ユーザーに代わって他のサービスのリソースにアクセスするアクセス許可をサービスに与える特殊なタイプのサービスロールです。これらのロールをサポートするサービスのドキュメントを参照するには、
Yes
リンクを選択してください。この列は、サービスが標準のサービスロールを使用するかどうかを示しません。詳細については、「サービスにリンクされたロールの使用」を参照してください。 -
詳細情報 – サービスが機能を完全にサポートしていない場合は、エントリの脚注を確認して、制限および関連情報へのリンクを参照できます。
コンピューティングサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS Batch |
|
|
|
|
|
|
Amazon Elastic Compute Cloud (Amazon EC2) |
|
|
|
|
|
|
Amazon EC2 Auto Scaling |
|
|
|
|
|
|
Amazon EC2 Image Builder |
|
|
|
|
|
|
AWS Elastic Beanstalk |
|
|
|
|
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
|
|
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
|
|
|
|
Amazon Elastic Kubernetes Service (Amazon EKS) |
|
|
|
|
|
|
Amazon Elastic Inference |
|
|
|
|
|
|
Elastic Load Balancing |
|
|
|
|
|
|
AWS Lambda |
|
|
|
|
|
|
Amazon Lightsail |
|
|
|
|
|
|
AWS Outposts |
|
|
|
|
|
|
AWS Serverless Application Repository |
|
|
|
|
|
|
¹ Amazon EC2 サービスにリンクされたロールは、AWS マネジメントコンソール を使用して作成することはできず、スケジュールされたインスタンス、スポットインスタンスリクエスト、スポットフリートリクエストの各機能にのみ使用できます。
² 一部の Amazon ECS アクションのみが、リソースレベルのアクセス許可をサポートします。
³ AWS Lambda にはサービスにリンクされたロールはありませんが、Lambda@Edge にはあります。詳細については、Amazon CloudFront 開発者ガイドの「Lambda@Edge のサービスにリンクされたロール」を参照してください。
ストレージサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS Backup |
|
|
|
|
|
|
AWS Backup ストレージ |
|
|
|
|
|
|
Amazon Elastic Block Store (Amazon EBS) |
|
|
|
|
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
|
|
|
|
Amazon FSx |
|
|
|
|
|
|
Amazon S3 Glacier |
|
|
|
|
|
|
AWS Import/Export |
|
|
|
|
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
|
|
|
|
AWS Outposts の Amazon Simple Storage Service (Amazon S3) |
|
|
|
|
|
|
AWS Snowball |
|
|
|
|
|
|
AWS Snowball Edge |
|
|
|
|
|
|
AWS Storage Gateway |
|
|
|
|
|
|
¹ Amazon S3 はオブジェクトリソースに対してのみタグベースの認証をサポートしています。
データベースサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon DynamoDB |
|
|
|
|
|
|
Amazon ElastiCache |
|
|
|
|
|
|
Amazon Keyspaces (Apache Cassandra 向け) |
|
|
|
|
|
|
Amazon Quantum Ledger Database (Amazon QLDB) |
|
|
|
|
|
|
Amazon Redshift |
|
|
|
|
|
|
Amazon Redshift Data API |
|
|
|
|
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
|
|
|
|
Amazon RDS Data API |
|
|
|
|
|
|
Amazon SimpleDB |
|
|
|
|
|
|
開発者用ツールサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS Cloud9 |
|
|
|
|
|
|
AWS コードアーティファクト |
|
|
|
|
|
|
CodeBuild |
|
|
|
|
|
|
CodeCommit |
|
|
|
|
|
|
AWS CodeDeploy |
|
|
|
|
|
|
CodePipeline |
|
|
|
|
|
|
AWS CodeStar |
|
|
|
|
|
|
AWS CodeStar 接続 |
|
|
|
|
|
|
AWS CodeStar Notifications |
|
|
|
|
|
|
AWS X-Ray |
|
|
|
|
|
|
¹ CodeBuild は、AWS RAM を使用してアカウント間のリソース共有をサポートします。
² CodeBuild は、プロジェクトベースのアクションのタグに基づいて承認をサポートします。
³ X-Ray は、グループおよびサンプリングルールのタグベースのアクセスコントロールをサポートしています。
セキュリティ、アイデンティティ、およびコンプライアンスサービス
¹ IAM では、ロールの信頼ポリシーと呼ばれるリソースベースのポリシーのタイプを 1 つのみサポートしています。このタイプは、IAM ロールにアタッチされます。詳細については、「ロールを切り替えるユーザーアクセス許可の付与」を参照してください。
² IAM はユーザーとロールのリソースに対してのみタグベースのアクセスコントロールをサポートしています。
³ 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、「API オプションの比較」を参照してください。
⁴ AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、「一時的セキュリティ認証情報のアクセスを名前で拒否する」を参照してください。
⁵ 一時的な認証情報を使用した呼び出しは、AWS STS の一部の API オペレーションでのみサポートされています。詳細については、「API オプションの比較」を参照してください。
機械学習サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon CodeGuru |
|
|
|
|
|
|
Amazon CodeGuru Profiler |
|
|
|
|
|
|
Amazon CodeGuru Reviewer |
|
|
|
|
|
|
Amazon Comprehend |
|
|
|
|
|
|
AWS DeepComposer |
|
|
|
|
|
|
AWS DeepRacer |
|
|
|
|
|
|
Forecast |
|
|
|
|
|
|
Amazon Fraud Detector |
|
|
|
|
|
|
Ground Truth のラベル付け |
|
|
|
|
|
|
Amazon Kendra |
|
|
|
|
|
|
Amazon Lex |
|
|
|
|
|
|
Amazon Machine Learning |
|
|
|
|
|
|
Amazon Personalize |
|
|
|
|
|
|
Amazon Polly |
|
|
|
|
|
|
Amazon Rekognition |
|
|
|
|
|
|
Amazon SageMaker |
|
|
|
|
|
|
Amazon Textract |
|
|
|
|
|
|
Amazon Transcribe |
|
|
|
|
|
|
Amazon Translate |
|
|
|
|
|
|
管理とガバナンスサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Application Auto Scaling |
|
|
|
|
|
|
AWS AppConfig |
|
|
|
|
|
|
AWS Auto Scaling |
|
|
|
|
|
|
AWS Chatbot |
|
|
|
|
|
|
AWS CloudFormation |
|
|
|
|
|
|
AWS CloudTrail |
|
|
|
|
|
|
Amazon CloudWatch |
|
|
|
|
|
|
Amazon CloudWatch Events アプリケーションインサイト |
|
|
|
|
|
|
Amazon CloudWatch Events |
|
|
|
|
|
|
Amazon CloudWatch Logs |
|
|
|
|
|
|
Amazon CloudWatch Synthetics |
|
|
|
|
|
|
AWS Compute Optimizer |
|
|
|
|
|
|
AWS Config |
|
|
|
|
|
|
Amazon Data Lifecycle Manager |
|
|
|
|
|
|
AWS Health |
|
|
|
|
|
|
AWS OpsWorks |
|
|
|
|
|
|
AWS OpsWorks for Chef Automate |
|
|
|
|
|
|
AWS OpsWorks 設定管理 |
|
|
|
|
|
|
AWS Organizations |
|
|
|
|
|
|
AWS リソースグループ |
|
|
|
|
|
|
リソースグループ Tagging API |
|
|
|
|
|
|
AWS Service Catalog |
|
|
|
|
|
|
AWS Systems Manager |
|
|
|
|
|
|
AWS タグエディタ |
|
|
|
|
|
|
AWS Trusted Advisor |
|
|
|
|
|
|
AWS Well-Architected Tool |
|
|
|
|
|
|
¹ Amazon CloudWatch サービスにリンクされたロールは AWS マネジメントコンソール を使用して作成することはできず、アラームアクション機能のみをサポートします。
² AWS Config は、マルチアカウント、マルチリージョンのデータ集約、および AWS Config ルールについて、リソースレベルのアクセス許可をサポートしています。サポートされているリソースのリストについては、AWS Config API ガイドの「マルチアカウントマルチリージョンのデータ集約」セクションおよび「AWS Config ルール」セクションを参照してください。
³ ユーザーは、AWS リソースグループ オペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。
⁴ AWS Service Catalog は、API オペレーションを入力内の 1 つのリソースと一致させるアクションに対してのみタグベースのアクセスコントロールをサポートしています。
⁵ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによって制御されます。
移行と転送のサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS Application Discovery Service |
|
|
|
|
|
|
AWS Connector Service |
|
|
|
|
|
|
AWS Transfer for SFTP |
|
|
|
|
|
|
AWS Database Migration Service |
|
|
|
|
|
|
AWS DataSync |
|
|
|
|
|
|
AWS Migration Hub |
|
|
|
|
|
|
AWS Server Migration Service |
|
|
|
|
|
|
¹ サポートされているターゲットエンドポイントに移行されるデータを暗号化するために作成した AWS KMS 暗号化キーにアタッチされているポリシーを作成および変更できます。サポートされているターゲットエンドポイントには Amazon Redshift や Amazon S3 があります。詳細については、AWS Database Migration Service ユーザーガイドの「Amazon Redshift ターゲットデータを暗号化する AWS KMS キーの作成と使用」と「Amazon S3 ターゲットオブジェクトを暗号化する AWS KMS キーの作成」を参照してください。
モバイルサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS Amplify |
|
|
|
|
|
|
AWS AppSync |
|
|
|
|
|
|
AWS Device Farm |
|
|
|
|
|
|
ネットワーキングとコンテンツ配信サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon API Gateway |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AWS Direct Connect |
|
|
|
|
|
|
AWS Global Accelerator |
|
|
|
|
|
|
Network Manager |
|
|
|
|
|
|
Amazon Route 53 |
|
|
|
|
|
|
Amazon Route 53 リゾルバー |
|
|
|
|
|
|
Amazon Virtual Private Cloud (Amazon VPC) |
|
|
|
|
|
|
¹ CloudFront では、CloudFront キーペアを作成するためのアクション レベルのアクセス許可がサポートされていません。CloudFront キーペアを作成するには AWS アカウントのルートユーザー を使用する必要があります。詳細については、Amazon CloudFront 開発者ガイドの「信頼された署名者の CloudFront キーペアを作成する」を参照してください。
² IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス許可を制限することはできません。ec2:*VpcEndpoint*
または ec2:DescribePrefixLists
API アクションを含むいずれの Action
エレメントにも、""Resource":
"*"
" を指定する必要があります。詳細については、Amazon VPC ユーザーガイドの「エンドポイントの使用の管理」を参照してください。
³ Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスをコントロールする方法の詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントポリシーの使用」を参照してください。
⁴ Amazon CloudFront にはサービスにリンクされたロールはありませんが、Lambda@Edge にはあります。詳細については、Amazon CloudFront 開発者ガイドの「Lambda@Edge のサービスにリンクされたロール」を参照してください。
メディアサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon Elastic Transcoder |
|
|
|
|
|
|
AWS Elemental Activations |
|
|
|
|
|
|
AWS Elemental アプライアンスとソフトウェア |
|
|
|
|
|
|
AWS Elemental MediaConnect |
|
|
|
|
|
|
AWS Elemental MediaConvert |
|
|
|
|
|
|
AWS Elemental MediaLive |
|
|
|
|
|
|
AWS Elemental MediaPackage |
|
|
|
|
|
|
AWS Elemental MediaPackage VOD |
|
|
|
|
|
|
AWS Elemental MediaStore |
|
|
|
|
|
|
AWS Elemental MediaTailor |
|
|
|
|
|
|
Amazon Interactive Video Service |
|
|
|
|
|
|
Kinesis ビデオストリーム |
|
|
|
|
|
|
Analytics サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon Athena |
|
|
|
|
|
|
Amazon CloudSearch |
|
|
|
|
|
|
AWS Data Exchange |
|
|
|
|
|
|
AWS Data Pipeline |
|
|
|
|
|
|
Amazon Elasticsearch Service |
|
|
|
|
|
|
Amazon EMR |
|
|
|
|
|
|
AWS Glue |
|
|
|
|
|
|
Amazon Kinesis Data Analytics |
|
|
|
|
|
|
Amazon Kinesis Data Firehose |
|
|
|
|
|
|
Amazon Kinesis Data Streams |
|
|
|
|
|
|
AWS Lake Formation |
|
|
|
|
|
|
Amazon Managed Streaming for Apache Kafka (MSK) |
|
|
|
|
|
|
Amazon QuickSight |
|
|
|
|
|
|
アプリケーション統合サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon AppFlow |
|
|
|
|
|
|
Amazon EventBridge |
|
|
|
|
|
|
Amazon EventBridge スキーマ |
|
|
|
|
|
|
Amazon MQ |
|
|
|
|
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
|
|
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
|
|
|
|
|
AWS Step Functions |
|
|
|
|
|
|
Amazon Simple Workflow Service (Amazon SWF) |
|
|
|
|
|
|
ビジネスアプリケーションサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Alexa for Business |
|
|
|
|
|
|
Amazon Chime |
|
|
|
|
|
|
Amazon Honeycode |
|
|
|
|
|
|
Amazon WorkMail |
|
|
|
|
|
|
人工衛星サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS Ground Station |
|
|
|
|
|
|
IoT サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS IoT Greengrass |
|
|
|
|
|
|
AWS IoT |
|
|
|
|
|
|
AWS IoT Analytics |
|
|
|
|
|
|
AWS IoT Device Tester |
|
|
|
|
|
|
AWS IoT イベント |
|
|
|
|
|
|
AWS IoT SiteWise |
|
|
|
|
|
|
AWS IoT Things Graph |
|
|
|
|
|
|
FreeRTOS |
|
|
|
|
|
|
¹ AWS IoT に接続されたデバイスは、X.509 証明書または Amazon Cognito ID を使用して認証されます。X.509 証明書または Amazon Cognito ID に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、AWS IoT 開発者ガイドの「AWS IoT の セキュリティと ID」を参照してください。
ロボット工学サービス
量子コンピューティングサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon Bracket |
|
|
|
|
|
|
ブロックチェーンサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon Managed Blockchain |
|
|
|
|
|
|
ゲーム開発サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon GameLift |
|
|
|
|
|
|
AR とバーチャルリアリティサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon Sumerian |
|
|
|
|
|
|
Customer Enablement サービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS IQ |
|
|
|
|
|
|
AWS IQ アクセス許可 |
|
|
|
|
|
|
AWS サポート |
|
|
|
|
|
|
カスタマーエンゲージメントサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon Connect |
|
|
|
|
|
|
Amazon Pinpoint |
|
|
|
|
|
|
Amazon Pinpoint E メールサービス |
|
|
|
|
|
|
Amazon Pinpoint SMS および音声サービス |
|
|
|
|
|
|
Amazon Simple Email Service (Amazon SES) |
|
|
|
|
|
|
¹ ses:SendEmail
または ses:SendRawEmail
など、E メールの送信に関連するアクションを参照するポリシーステートメントでのみリソースレベルのアクセス許可を使用できます。他のアクションを参照するポリシーステートメントについては、Resource
要素は *
のみを含めることができます。
² 一時的セキュリティ認証情報をサポートしているのは、Amazon SES API のみです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。
エンドユーザーコンピューティングサービス
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
Amazon AppStream |
|
|
|
|
|
|
Amazon AppStream 2.0 |
|
|
|
|
|
|
Amazon WAM |
|
|
|
|
|
|
Amazon WorkDocs |
|
|
|
|
|
|
Amazon WorkLink |
|
|
|
|
|
|
Amazon WorkSpaces |
|
|
|
|
|
|
その他のリソース
サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
---|---|---|---|---|---|---|
AWS Billing and Cost Management |
|
|
|
|
|
|
AWS Budget Service |
|
|
|
|
|
|
AWS コストと使用状況レポート |
|
|
|
|
|
|
AWS Cost Explorer |
|
|
|
|
|
|
AWS Marketplace |
|
|
|
|
|
|
AWS Marketplace カタログ |
|
|
|
|
|
|
AWS Private Marketplace |
|
|
|
|
|
|
AWS Savings Plans |
|
|
|
|
|
|