AWS Identity and Access Management
ユーザーガイド

IAM JSON ポリシーの要素:Resource

Resource エレメントは、ステートメントで取り扱う一連のオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、リソースを特定します。ARN の形式の詳細については、「Amazon リソースネーム (ARN) と AWS サービスの名前空間」を参照してください。

各サービスには、それぞれ一連のリソースがあります。リソースを特定するためには必ず ARN を使用しますが、それぞれのリソースの ARN の詳細は、そのサービスおよびリソースによって異なります。リソースの指定方法についての情報は、お客様が記述しているステートメントを適用するリソースのサービスに関するドキュメントを参照してください。

注記

一部のサービスでは、個々のリソースに対してアクションを指定することができず、代わりにActionまたはNotActionエレメントでリストしたアクションがサービス内のすべてのリソースに適用されます。その場合、*エレメント内でワイルドカード (Resource) を使用してください。

以下の例は、特定の Amazon SQS キューを示しています。

"Resource": "arn:aws:sqs:us-east-2:account-ID-without-hyphens:queue1"

以下の例は、AWS アカウント内のボブという名の IAM ユーザーを示しています。

"Resource": "arn:aws:iam::account-ID-without-hyphens:user/Bob"

リソース ARN の一部にワイルドカードを使用することができます。ARN セグメント (コロンで区切られている部分) でワイルドカード文字 (* と ?) を使用できます。アスタリスク (*) は 0 個以上の文字の任意の組み合わせを表し、疑問符 (?) は任意の 1 文字を表します。各セグメントで複数の * または ? の文字を使用することができますが、ワイルドカードはセグメントをまたぐことができません。以下の例は、/accounting というパスを持つすべての IAM ユーザーを示しています。

"Resource": "arn:aws:iam::account-ID-without-hyphens:user/accounting/*"

以下の例は、特定の Amazon S3 バケット内のすべての項目を示しています。

"Resource": "arn:aws:s3:::my_corporate_bucket/*"

複数のリソースを特定することができます。以下の例は、2 つの DynamoDB テーブルを示しています。

"Resource": [ "arn:aws:dynamodb:us-east-2:account-ID-without-hyphens:table/books_table", "arn:aws:dynamodb:us-east-2:account-ID-without-hyphens:table/magazines_table" ]

Resource 要素では、特定のリソースを示す ARN の一部 (つまり、ARN の末尾部分) で JSON ポリシー変数を使用できます。たとえば、リソース ARN の一部としてキー {aws:username} を使用することで、現在のユーザー名をリソースの名前の一部として含める必要があることを示すことができます。以下の例は、{aws:username} エレメント内での Resource キーの使用方法を示します。ポリシーは、現在のユーザー名に一致する Amazon DynamoDB テーブルへのアクセスを許可します。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:ACCOUNT-ID-WITHOUT-HYPHENS:table/${aws:username}" } }

JSON ポリシー変数の詳細については、「IAM ポリシーエレメント: 変数」を参照してください。