IAM と連携する AWS のサービス
以下に一覧表示されている AWS のサービスは AWS 製品カテゴリ別にグループ化され、サポートする IAM 機能に関する情報を含んでいます。
-
サービス – サービスの名前を選択し、このサービスの IAM 認証とアクセスに関する AWS ドキュメントを表示できます。
-
アクション – ポリシーで個々のアクションを指定できます。サービスがこの機能をサポートしていない場合、ビジュアルエディタで [すべてのアクション] が選択されます。JSON ポリシードキュメントでは、
*要素にActionを使用する必要があります。各サービスのアクションのリストについては、「」を参照してください。 -
リソースレベルのアクセス許可 – ARN を使用してポリシーで個々のリソースを指定できます。サービスがこの機能をサポートしていない場合、ポリシービジュアルエディタで [すべてのリソース] が選択されます。JSON ポリシードキュメントでは、
*要素にResourceを使用する必要があります。List*アクションなど一部のアクションは、複数のリソースを返すように設計されているため、ARN の指定をサポートしていません。サービスがこの機能を一部のリソースでサポートしている場合は、その旨が表の黄色のセルに示されます。詳細については、該当するサービスのドキュメントを参照してください。 -
リソースベースのポリシー – リソースベースのポリシーをサービス内のリソースにアタッチできます。リソースベースのポリシーには、リソースにアクセスできる IAM ID を指定する
Principal要素が含まれます。詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。 -
タグに基づいた承認 – ポリシーの条件にリソースタグを使用できます。たとえば、タグ付けした Amazon RDS リソースへのフルアクセスをタグの所有者に許可するポリシーを作成するとします。これを行うには、
rds:db-tag/Ownerなどの条件キーを使用します。 -
一時的認証情報 – フェデレーション、クロスアカウントロール、またはサービスロールを使用してサインインしたユーザーがこのサービスにアクセスできます。AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出して、一時的セキュリティ認証情報を取得します。詳細については、「一時的セキュリティ認証情報」を参照してください。
-
サービスにリンクされたロール – サービスにリンクされたロールは、ユーザーに代わってアクションを完了するために、他のサービスのリソースにアクセスするアクセス許可をサービスに付与します。これらのロールをサポートするサービスのドキュメントを参照するには、
Yesリンクを選択してください。詳細については、「サービスにリンクされたロールの使用」を参照してください。 -
詳細情報 – サービスが機能を完全にサポートしていない場合は、エントリの脚注を確認して、制限および関連情報へのリンクを参照できます。
コンピューティングサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| アプリケーションの Auto Scaling | あり | なし | なし | なし | あり | あり |
| AWS Auto Scaling | あり | なし | なし | なし | あり | あり |
| AWS Batch | あり | あり | なし | なし | あり | なし |
| Amazon Elastic Compute Cloud (Amazon EC2) | あり | あり | なし | あり | あり | あり ¹ |
| Amazon EC2 Auto Scaling | あり | あり | なし | なし | あり | あり |
| AWS Elastic Beanstalk | あり | あり | なし | あり | あり | あり |
| Amazon Elastic Container Registry (Amazon ECR) | あり | あり | あり | なし | あり | なし |
| Amazon Elastic Container Service (Amazon ECS) | あり | あり | なし | なし | あり | あり |
| Amazon Elastic Container Service for Kubernetes (Amazon EKS) | あり | なし | なし | なし | あり | なし |
| Amazon Elastic Inference | あり | あり | あり | なし | なし | なし |
| Elastic Load Balancing | あり | あり | なし | なし | あり | あり |
| AWS Lambda | あり | あり | あり | なし | あり | あり |
| Amazon Lightsail | あり | なし | なし | なし | あり | なし |
¹ Amazon EC2 サービスにリンクされたロールは、AWS マネジメントコンソール を使用して作成することはできず、スケジュールされたインスタンス、スポットインスタンスリクエスト、スポットフリートリクエストの各機能にのみ使用できます。
ストレージサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Elastic Block Store (Amazon EBS) | あり | あり | なし | あり | あり | なし |
| Amazon Elastic File System (Amazon EFS) | あり | あり | なし | なし | あり | なし |
| Amazon S3 Glacier | あり | あり | あり | あり | あり | なし |
| AWS Import/Export | あり | なし | なし | なし | あり | なし |
| AWS Migration Hub | あり | あり | なし | なし | あり | なし |
| Amazon Simple Storage Service (Amazon S3) | あり | あり | あり | あり | あり | なし |
| AWS Snowball | あり | なし | なし | なし | あり | なし |
| AWS Snowball Edge | あり | なし | なし | なし | なし | なし |
| AWS Storage Gateway | あり | あり | なし | なし | あり | なし |
データベースサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon DynamoDB | あり | あり | なし | なし | あり | あり |
| Amazon ElastiCache | あり | いいえ¹ | なし | なし | あり | あり |
| Amazon Redshift | あり | あり | なし | あり | あり | あり |
| Amazon Relational Database Service (Amazon RDS) | あり | あり | なし | あり | あり | あり |
| Amazon SimpleDB | あり | あり | なし | なし | あり | なし |
¹ 2 つの API オペレーションで、クラスター/レプリケーショングループをシードするときに Amazon S3 ARN リソースを指定します。
開発者用ツールサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Cloud9 | あり | あり | あり | あり | あり | あり |
| AWS CodeBuild | あり | あり | なし | なし | あり | なし |
| AWS CodeCommit | あり | あり | なし | なし | あり | なし |
| AWS CodeDeploy | あり | あり | なし | なし | あり | なし |
| AWS CodePipeline | あり | あり | なし | なし | あり | なし |
| AWS CodeStar | あり | はい¹ | なし | なし | あり | なし |
セキュリティ、アイデンティティ、およびコンプライアンスサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Artifact | あり | あり | なし | なし | あり | なし |
| AWS Certificate Manager (ACM) | あり | あり | なし | なし | あり | なし |
| AWS CloudHSM | あり | なし | なし | なし | あり | あり |
| AWS CloudHSM Classic | あり | なし | なし | なし | なし | なし |
| Amazon Cognito | あり | あり | なし | なし | あり | なし |
| AWS Directory Service | あり | なし | なし | なし | あり | なし |
| Amazon GuardDuty | あり | あり | なし | なし | あり | あり |
| AWS Identity and Access Management (IAM) | あり | あり | あり ¹ | なし | あり ² | なし |
| Amazon Inspector | あり | なし | なし | なし | あり | あり |
| AWS Key Management Service (AWS KMS) | あり | あり | あり | なし | あり | あり |
| Amazon Macie | あり | なし | なし | なし | あり | あり |
| AWS Organizations | あり | あり | なし | なし | あり | あり |
| AWS Secrets Manager | あり | あり | あり | あり | あり | なし |
| AWS セキュリティハブ | あり | あり | なし | なし | あり | あり |
| AWS シングルサインオン (AWS SSO) | あり | なし | なし | なし | あり | あり |
| AWS Security Token Service (AWS STS) | あり | あり ³ | なし | なし | はい⁴ | なし |
| AWS Shield アドバンスド | あり | なし | なし | なし | あり | なし |
| AWS WAF | あり | あり | なし | なし | あり | あり |
¹ IAM では、ロールの信頼ポリシーと呼ばれるリソースベースのポリシーのタイプを 1 つのみサポートしています。このタイプは、IAM ロールにアタッチされます。詳細については、「ロールを切り替えるユーザーアクセス権限の付与」を参照してください。
² 一時的な認証情報では、IAM の一部の API アクションのみ呼び出すことができます。詳細については、「API オプションの比較」を参照してください。
³ AWS STS には「リソース」はありませんが、ユーザーと同じようにアクセスを制限することができます。詳細については、「一時的セキュリティ認証情報のアクセスを名前で拒否する」を参照してください。
⁴ 一時的な認証情報を使用した呼び出しは、AWS STS の一部の API オペレーションでのみサポートされています。詳細については、「API オプションの比較」を参照してください。
Machine Learning サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Comprehend | あり | なし | なし | なし | あり | なし |
| AWS DeepRacer | あり | なし | なし | なし | あり | あり |
| Amazon Lex | あり | あり | なし | なし | あり | あり |
| Amazon Machine Learning | あり | あり | なし | あり | あり | なし |
| Amazon Polly | あり | あり | なし | なし | あり | なし |
| Amazon Rekognition | あり | あり | なし | なし | なし | なし |
| Amazon SageMaker | あり | あり | なし | あり ¹ | あり | なし |
| Amazon Transcribe | あり | なし | なし | なし | あり | なし |
| Amazon Translate | あり | なし | なし | なし | あり | なし |
¹ Amazon SageMaker は、InvokeEndpoint の呼び出しにタグベースの承認の使用をサポートしていません。
管理とガバナンスサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS CloudFormation | あり | あり | なし | なし | あり | なし |
| AWS CloudTrail | あり | あり | なし | なし | あり | なし |
| Amazon CloudWatch | あり | なし | なし | なし | あり | あり¹ |
| Amazon CloudWatch Events | あり | あり | なし | なし | あり | なし |
| Amazon CloudWatch Logs | あり | あり | なし | なし | あり | なし |
| AWS Config | あり | はい² | なし | なし | あり | あり |
| AWS Health | あり | なし | なし | なし | あり | なし |
| AWS OpsWorks | あり | あり | なし | なし | あり | なし |
| AWS OpsWorks for Chef Automate | あり | あり | なし | なし | あり | なし |
| AWS Service Catalog | あり | なし | なし | なし | あり | なし |
| AWS Systems Manager | あり | あり | なし | あり | あり | あり |
| AWS Trusted Advisor | はい³ | あり | なし | なし | はい⁴ | あり |
¹ Amazon CloudWatch サービスにリンクされたロールは AWS マネジメントコンソール を使用して作成することはできず、アラームアクション機能のみをサポートします。
² AWS Config は、マルチアカウント、マルチリージョンのデータ集約に限り、リソースレベルのアクセス許可をサポートしています。サポートされているリソースのリストについては、『AWS Config API ガイド』の「マルチアカウントマルチリージョンのデータ集約」セクションを参照してください。
³ API から Trusted Advisor へのアクセスは AWS サポート API を介して行われ、AWS サポート IAM ポリシーによってコンソールされます。
⁴ Trusted Advisor は、タグ付け条件として、キーと値のペア用の ssm:resourceTag と ssm:Overwrite をサポートしています。
移行と転送のサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Application Discovery Service | あり | なし | なし | なし | なし | あり |
| AWS Database Migration Service | あり | あり | なし | あり | あり | なし |
| AWS Migration Hub | あり | あり | なし | なし | あり | なし |
モバイルサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Amplify | あり | あり | なし | なし | なし | なし |
| AWS Device Farm | あり | なし | なし | なし | あり | なし |
| Amazon Pinpoint | あり | あり | なし | なし | あり | なし |
ネットワーキングとコンテンツ配信サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon API Gateway | あり | あり | あり | なし | あり | なし |
| あり | なし | なし | なし | あり | なし | |
| あり ¹ | なし | なし | なし | あり | なし | |
| あり | なし | なし | なし | あり | なし | |
| AWS Direct Connect | あり | なし | なし | なし | あり | なし |
| あり | あり | なし | なし | あり | なし | |
| Amazon Route 53 | あり | あり | なし | なし | あり | なし |
| Amazon Virtual Private Cloud (Amazon VPC) | あり | あり ² | あり ³ | あり | あり | なし |
¹ CloudFront では、CloudFront キーペアを作成するためのアクション レベルのアクセス許可がサポートされていません。CloudFront キーペアを作成するには AWS アカウントのルートユーザー を使用する必要があります。詳細については、『Amazon CloudFront 開発者ガイド』の「信頼された署名者の CloudFront キーペアを作成する」を参照してください。
² IAM ユーザーポリシーで、特定の Amazon VPC エンドポイントへのアクセス許可を制限することはできません。Action または ec2:*VpcEndpoint* API アクションを含むいずれの ec2:DescribePrefixLists エレメントにも、""Resource":
"*"" を指定する必要があります。詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントの使用の管理」を参照してください。
³ Amazon VPC では、VPC エンドポイントへの単一リソースポリシーのアタッチがサポートされており、そのエンドポイント経由でアクセスできるコンテンツを制限できます。リソースベースのポリシーを使用して、特定の Amazon VPC エンドポイントからリソースへのアクセスをコントロールする方法の詳細については、『Amazon VPC ユーザーガイド』の「エンドポイントポリシーの使用」を参照してください。
メディアサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Elastic Transcoder | あり | あり | なし | なし | あり | なし |
| AWS Elemental MediaConnect | あり | あり | なし | なし | あり | なし |
| AWS Elemental MediaConvert | あり | あり | なし | なし | あり | なし |
| AWS Elemental MediaStore | あり | あり | あり | なし | あり | なし |
| AWS Elemental MediaTailor | あり | あり | なし | なし | あり | なし |
| Kinesis ビデオストリーム | あり | あり | なし | なし | あり | No |
デスクトップとアプリのストリーミングサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon AppStream | あり | なし | なし | なし | あり | なし |
| Amazon AppStream 2.0 | あり | なし | なし | なし | あり | なし |
| Amazon WorkSpaces | あり | あり | なし | なし | あり | なし |
| Amazon WAM | あり | なし | なし | なし | あり | なし |
分析サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Athena | あり | なし | なし | なし | あり | なし |
| Amazon CloudSearch | あり | あり | なし | なし | あり | なし |
| AWS Data Pipeline | あり | なし | なし | あり | あり | なし |
| Amazon Elasticsearch Service | あり | あり | あり | なし | あり | あり |
| Amazon EMR | あり | なし | なし | あり | あり | あり |
| AWS Glue | あり | あり | あり | なし | あり | なし |
| Amazon Kinesis Data Analytics | あり | あり | なし | なし | あり | なし |
| Amazon Kinesis Data Firehose | あり | あり | なし | なし | あり | なし |
| Amazon Kinesis Data Streams | あり | あり | なし | なし | あり | なし |
| Amazon QuickSight | あり | なし | なし | なし | なし | なし |
アプリケーション統合サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon MQ | あり | なし | なし | なし | あり | なし |
| Amazon Simple Email Service (Amazon SES) | あり | はい¹ | なし | なし | はい² | なし |
| Amazon Simple Notification Service (Amazon SNS) | あり | あり | あり | なし | あり | なし |
| Amazon Simple Queue Service (Amazon SQS) | あり | あり | あり | なし | あり | なし |
| Amazon Simple Workflow Service (Amazon SWF) | あり | あり | なし | あり | あり | なし |
¹ Amazon SES は特定の SES ID に対するアクセス許可を送信者に委任するポリシーで、リソースレベルのアクセス許可をサポートします。
² 一時的セキュリティ認証情報をサポートしているのは、Amazon SES API のみです。Amazon SES SMTP インターフェイスは、一時的なセキュリティ認証情報から派生した SMTP 認証情報をサポートしていません。
ビジネスアプリケーションサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Alexa for Business | あり | あり | なし | あり | あり | なし |
| Amazon WorkDocs | あり | なし | なし | なし | あり | なし |
| Amazon WorkMail | あり | なし | なし | なし | あり | なし |
IoT サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS IoT Greengrass | あり | あり | なし | なし | あり | なし |
| AWS IoT | あり | あり | あり ¹ | あり | あり | なし |
| AWS IoT Things Graph | あり | なし | なし | なし | あり | なし |
¹ AWS IoT に接続されたデバイスは、X.509 証明書または Amazon Cognito ID を使用して認証されます。X.509 証明書または Amazon Cognito ID に AWS IoT ポリシーをアタッチして、この操作が許可されるデバイスを管理できます。詳細については、『AWS IoT 開発者ガイド』の「AWS IoT の セキュリティと ID」を参照してください。
ロボットサービス
ゲーム開発サービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon GameLift | あり | なし | なし | なし | あり | なし |
顧客エンゲージメントサービス
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| Amazon Connect | あり | あり | なし | なし | あり | あり |
その他のリソース
| サービス | アクション | リソースレベルのアクセス許可 | リソースベースのポリシー | タグに基づいた承認 | 一時認証情報 | サービスにリンクされたロール |
| AWS Billing and Cost Management | あり | なし | なし | なし | あり | なし |
| AWS Marketplace | あり | あり | なし | なし | あり | なし |
| AWS サポート | なし | なし | なし | なし | あり | あり |
