メニュー
AWS Identity and Access Management
ユーザーガイド

IAM JSON ポリシーエレメント: NotAction

NotAction は、指定されたアクションリスト以外のすべてを明示的に照合する高度なポリシー要素です。NotAction を使うと、一致する予定のアクションのリストを含めるのではなく、一致する必要がないアクションがいくつかリストアップされ、ポリシーが短くなります。NotAction を使用する場合は、この要素に指定されているアクションは制限されているだけの アクションであることに注意してください。これは、Allow 効果を使用する場合、リストされていない該当するすべてのアクションまたはサービスが許可されることを意味します。また、Deny 効果を使用する場合は、リストされていないそのようなアクションやサービスは定義されません。NotActionResource 要素を共に使用するときは、ポリシーの範囲を指定します。これにより、AWS は該当するアクションまたはサービスを決定します。詳細については、次のポリシー例を参照してください。

許可の NotAction

NotAction で指定されたアクションを除いて、"Effect": "Allow" のステートメントで NotAction 要素を使用して、AWS サービス内のすべてのアクションへのアクセスできます。これを Resource 要素と共に使用してポリシーの範囲を提供し、許可されるアクションを、指定されたリソースで実行できるアクションに制限します。

次の例では、任意の S3 リソースで実行できる、バケットの削除以外のすべての Amazon S3 アクションにユーザーがアクセスすることを許可します。これにより、ListAllMyBuckets S3 API オペレーションの使用はユーザーに許可されません。そのアクションでは "*" リソースが必要であるためです。また、このポリシーでは、他のサービスのアクションも許可されません。他のサービスのアクションは S3 リソースには適用されないためです。

"Effect": "Allow", "NotAction": "s3:DeleteBucket", "Resource": "arn:aws:s3:::*",

多数のアクションへアクセスを許可する場合があります。NotAction要素を使用することにより、そのステートメントを効果的に反転させることで、より短いアクションリストを得ることができます。たとえば、AWS には多数のサービスがあるため、ユーザーは、アクセス IAM アクションを除くすべてのアクションの実行を許可するポリシーを作成できます。

次の例では、IAM を除くすべての AWS サービスのすべてのアクションにユーザーはアクセスできます。

"Effect": "Allow", "NotAction": "iam:*", "Resource": "*"

NotAction 要素と "Effect": "Allow" を同じステートメントで使用したり、ポリシー内の別のステートメントで使用することに注意してください。NotAction は、明示的にリストされていない、または指定されたサービスに適用されないすべてのサービスおよびアクションと一致し、意図した以上の権限をユーザーに付与する可能性があります。

拒否のNotAction

"Effect": "Deny" のステートメントでNotAction 要素を使用すると、NotAction 要素で指定されているアクションを除いて、リストされたすべてのリソースへのアクセスを拒否できます。この組み合わせでは、リストされた項目は許可されませんが、リストされていないアクションは明示的に拒否されます。許可したいアクションを許可する必要があります。

次の条件付きの例では、ユーザーが MFA の使用にサインインしていない場合、非 IAM アクションへのアクセスを拒否しています。ユーザーが MFA でサインインした場合は、"Condition" テストは失敗し、最終的な "Deny" ステートメントは無効になります。ただし、これにより、ユーザーがアクションにアクセスすることは許可されないため、IAM アクションを除くアクションはすべて明示的に拒否されます。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": "iam:*", "Resource": "*", "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}} }] }

次のポリシーの例では、リストにあるサービスのアクションを除き、eu-central-1 および eu-west-1 リージョン以外のオペレーションへのアクセスを拒否します。NotActions 要素にリストされているサービスは、単一エンドポイントが物理的に us-east-1 リージョンに配置されている AWS グローバルサービスの一部です。それ以外の場合、これらのサービスのオペレーションは失敗します。このポリシーでは、アクセスは拒否されるため、別のポリシーでアクセス許可を付与する必要があります。

"Version": "2012-10-17", "Statement": [{ "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "aws-portal:*", "iam:*", "organizations:*", "support:*", "sts:*" ], "Resource": "*", "Condition": {"StringNotEquals": {"aws:RequestedRegion": [ "eu-central-1", "eu_west-1" ]}} }] }