AWS Identity and Access Management
ユーザーガイド

IAM JSON ポリシーの要素:NotResource

NotResource は、指定されたリソースリスト以外のすべてを明示的に照合する高度なポリシーエレメントです。NotResource を使うと、一致する予定のリソースのリストを含めるのではなく、一致する必要がないアクションがいくつかリストアップされ、リソースが短くなります。NotResource を使用する場合は、この要素に指定されているリソースは制限されているリソースのみであることに注意してください。これは、リストされていない他のすべてのサービスのリソースを含むすべてのリソースが、Allow 効果を使用する場合は許可され、Deny 効果を使用する場合は拒否されることを意味します。ステートメントには、ARN を使用してリソースを指定する ResourceまたはNotResource エレメントを含める必要があります。(ARN の形式の詳細については、「Amazon リソースネーム (ARN) と AWS サービスの名前空間」を参照)

NotResource 要素と "Effect": "Allow" をポリシー内の同じステートメントで使用したり、別のステートメントで使用したりすることに注意してください。NotResource は、明示的に列挙されないすべてのサービスおよびリソースを許可するため、意図した以上のアクセス許可をユーザーに付与する結果になる場合があります。同じステートメントで NotResource エレメントと "Effect": "Deny" を使用すると、明示的にリストされていないサービスとリソースが拒否されます。

たとえば、HRPayrollという名前のグループがあるとしましょう。HRPayrollのメンバーは、HRBucket バケット内の Payroll フォルダ以外のすべての Amazon S3 リソースにアクセスできません。次のポリシーは、リストされたリソース以外のすべての Amazon S3 リソースへのアクセスを明示的に拒否します。ただし、このポリシーは、すべてのリソースにユーザーのアクセス権を与えるものではないことに注意してください。

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "s3:*", "NotResource": [ "arn:aws:s3:::HRBucket/Payroll", "arn:aws:s3:::HRBucket/Payroll/*" ] } }

通常、リソースへのアクセスを明示的に拒否するには、"Effect":"Deny" を使用し、各フォルダを個別にリストするResource エレメントを含むポリシーを作成します。ただし、その場合には、HRBucket にフォルダを追加したり、アクセスすべきでない Amazon S3 にリソースを追加するたびに、Resource のリストにその名前を追加する必要があります。代わりに NotResource エレメントを使用すると、ユーザーはフォルダ名を NotResource エレメントに追加しない限り、新しいフォルダへのアクセスは自動的に拒否されます。