AWS Identity and Access Management
ユーザーガイド

IAM JSON ポリシーエレメント: Resource

Resource エレメントは、ステートメントで取り扱う一連のオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、リソースを特定します。ARN のフォーマットの詳細については、「Amazon リソースネーム (ARN) と AWS サービスの名前空間」を参照してください。

各サービスには、それぞれ一連のリソースがあります。リソースを特定するためには必ず ARN を使用しますが、それぞれのリソースの ARN の詳細は、そのサービスおよびリソースによって異なります。リソースの指定方法についての情報は、お客様が記述しているステートメントを適用するリソースのサービスに関するドキュメントを参照してください。

注記

一部のサービスでは、個々のリソースに対してアクションを指定することができず、代わりにActionまたはNotActionエレメントでリストしたアクションがサービス内のすべてのリソースに適用されます。その場合、Resourceエレメント内でワイルドカード (*) を使用してください。

以下の例は、特定の Amazon SQS キューを示しています。

"Resource": "arn:aws:sqs:us-east-2:account-ID-without-hyphens:queue1"

以下の例は、AWS アカウント内のボブという名の IAM ユーザーを示しています。

"Resource": "arn:aws:iam::account-ID-without-hyphens:user/Bob"

リソース ARN の一部にワイルドカードを使用することができます。ワイルドカード文字 (* と ?) を、任意の ARN セグメント (コロンで区切られている部分) 内で使用できます。アスタリスク (*) は文字の任意の組み合わせを、疑問符 (?) は任意の 1 文字を表します。各セグメント内で複数の * や ? を使用できますが、ワイルドカードはセグメントをまたぐことはできません。以下の例は、/accounting というパスを持つすべての IAM ユーザーを示しています。

"Resource": "arn:aws:iam::account-ID-without-hyphens:user/accounting/*"

以下の例は、特定の Amazon S3 バケット内のすべての項目を示しています。

"Resource": "arn:aws:s3:::my_corporate_bucket/*"

複数のリソースを特定することができます。以下の例は、2 つの DynamoDB テーブルを示しています。

"Resource": [ "arn:aws:dynamodb:us-east-2:account-ID-without-hyphens:table/books_table", "arn:aws:dynamodb:us-east-2:account-ID-without-hyphens:table/magazines_table" ]

Resource エレメントでは、特定のリソースを示す ARN の一部 (すなわち、ARN の末尾部分) で JSON ポリシー変数を使用できます。たとえば、リソース ARN の一部としてキー {aws:username} を使用することで、現在のユーザー名をリソースの名前の一部として含める必要があることを示すことができます。以下の例は、Resource エレメント内での {aws:username} キーの使用方法を示します。ポリシーは、現在のユーザー名に一致する Amazon DynamoDB テーブルへのアクセスを許可します。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:ACCOUNT-ID-WITHOUT-HYPHENS:table/${aws:username}" } }

JSON ポリシー変数の詳細については、「IAM ポリシーエレメント: 変数」を参照してください。