AWS Identity and Access Management
ユーザーガイド

IAM JSON ポリシーの要素:Action

Action エレメントは、許可または拒否される特定のアクションについて説明します。ステートメントには、Action または NotAction エレメントを含める必要があります。各 AWS 製品には、そのサービスで行うことができるタスクを記述する独自のアクションセットがあります。たとえば、Amazon S3 のアクションの一覧は、Amazon Simple Storage Service 開発者ガイド の「ポリシーでのアクセス許可の指定」に記載されていて、Amazon EC2 のアクションの一覧は Amazon EC2 API Reference に記載されています。また、AWS Identity and Access Management のアクションの一覧は IAM API リファレンス に記載されています。他のサービスのアクションのリストについては、そのサービスの API リファレンスドキュメントを参照してください。

値は、サービス (iamec2 sqssnss3 など) を識別する名前空間に、許可または拒否するアクションの名前を付けて特定します。この名前は、サービスでサポートされているアクションと一致しなければいけません。プレフィックスとアクション名には、大文字と小文字の区別がありません。たとえば、iam:ListAccessKeysIAM:listaccesskeys と同じです。下記の例は、様々サービスに対するActionエレメントの例を示します。

Amazon SQS アクション

"Action": "sqs:SendMessage"

Amazon EC2 アクション

"Action": "ec2:StartInstances"

IAM アクション

"Action": "iam:ChangePassword"

Amazon S3 アクション

"Action": "s3:GetObject"

Actionエレメントには複数の値を指定することができます。

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

特定の AWS 製品が提供するすべてのアクションへのアクセスを許可するには、ワイルドカード (*) を使用することができます。たとえば、以下の Action エレメントはすべての S3 アクションに適用します。

"Action": "s3:*"

また、アクション名の一部にワイルドカード(*)を使用できます。たとえば、以下の Action 要素は、CreateAccessKeyDeleteAccessKeyListAccessKeysUpdateAccessKey などの文字列 AccessKey を含むすべての IAM アクションに適用されます。

"Action": "iam:*AccessKey*"

サービスの中には、使用可能なアクションに制限があるものがあります。たとえば、Amazon SQS では、使用可能なすべての Amazon SQS アクションのサブセットだけを使用することができます。この場合、* ワイルドカードはキューの完全なコントロールを許可せず、共有しているアクションのサブセットだけが許可されます。詳細については、Amazon Simple Queue Service 開発者ガイド の「アクセス許可について」を参照してください。