IAM JSON ポリシー要素Resource
Resource
要素は、ステートメントで取り扱う一連のオブジェクトを指定します。ステートメントには、Resource
または NotResource
要素を含める必要があります。ARN を使用して、リソースを特定します。ARN の形式についての詳細は、IAM ARNを参照してください。
各サービスには、それぞれ一連のリソースがあります。リソースを特定するためには必ず ARN を使用しますが、それぞれのリソースの ARN の詳細は、そのサービスおよびリソースによって異なります。リソースの指定方法についての情報は、お客様が記述しているステートメントを適用するリソースのサービスに関するドキュメントを参照してください。
注記
一部のサービスでは、個々のリソースに対してアクションを指定することができず、代わりにAction
またはNotAction
要素でリストしたアクションがサービス内のすべてのリソースに適用されます。その場合、*
要素内でワイルドカード (Resource
) を使用してください。
以下の例は、特定の Amazon SQS キューを示しています。
"Resource": "arn:aws:sqs:us-east-2:
account-ID-without-hyphens
:queue1"
以下の例は、AWS アカウント 内のボブという名の IAM ユーザーを示しています。
注記
Resource
要素では、IAM ユーザー名の大文字と小文字が区別されます。
"Resource": "arn:aws:iam::
account-ID-without-hyphens
:user/Bob"
リソース ARN でのワイルドカードの使用
リソース ARN の一部にワイルドカードを使用することができます。ARN セグメント (コロンで区切られた部分) 内でワイルドカード文字 (* と ?) を使用し、アスタリスク (*) の付いた文字と疑問符 (?) が付いた任意の 1 文字の任意の組み合わせを表すことができます。複数の * または? 各セグメントの文字。ワイルドカード (*) がリソース ARN セグメントの最後の文字である場合は、コロンの境界を越えて一致するように拡張できます。コロンで区切られた ARN セグメント内ではワイルドカード (* と ?) を使用することをお勧めします。
注記
AWS 製品を識別するためにサービスセグメントでワイルドカードを使用することはできません。ARN セグメントの詳細については、「Amazon リソースネーム (ARN)」を参照してください。
以下の例は、/accounting
というパスを持つすべての IAM ユーザーを示しています。
"Resource": "arn:aws:iam::
account-ID-without-hyphens
:user/accounting/*"
以下の例は、特定の Amazon S3 バケット内のすべての項目を示しています。
"Resource": "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
/*"
アスタリスク (*) 文字を展開して、セグメント内のすべてを置き換えることができます。スラッシュ (/) などの文字は、特定のサービス名前空間内で区切り文字のように見える場合があります。たとえば、次のような Amazon S3 ARN を考えてみます。同じワイルドカード拡張ロジックがすべてのサービスに適用されるためです。
"Resource": "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
/*/test/*"
ARN のワイルドカードは、リストされた最初のオブジェクトだけでなく、バケット内の次のすべてのオブジェクトに適用されます。
DOC-EXAMPLE-BUCKET
/1/test/object.jpgDOC-EXAMPLE-BUCKET
/1/2/test/object.jpgDOC-EXAMPLE-BUCKET
/1/2/test/3/object.jpgDOC-EXAMPLE-BUCKET
/1/2/3/test/4/object.jpgDOC-EXAMPLE-BUCKET
/1///test///object.jpgDOC-EXAMPLE-BUCKET
/1/test/.jpgDOC-EXAMPLE-BUCKET
//test/object.jpgDOC-EXAMPLE-BUCKET
/1/test/
前のリストの最後の 2 つのオブジェクトを考えてみましょう。Amazon S3 オブジェクト名は、従来の区切り文字のスラッシュ(/)文字で開始または終了することができます。「/」は区切り文字として機能しますが、リソース ARN 内でこの文字を使用する場合は特に意味がありません。これは、他の有効な文字と同じように扱われます。ARN は次のオブジェクトと一致しません。
DOC-EXAMPLE-BUCKET
/1-test/object.jpgDOC-EXAMPLE-BUCKET
/test/object.jpgDOC-EXAMPLE-BUCKET
/1/2/test.jpg
複数のリソースの指定
複数のリソースを特定することができます。以下の例は、2 つの DynamoDB テーブルを示しています。
"Resource": [ "arn:aws:dynamodb:us-east-2:
account-ID-without-hyphens
:table/books_table", "arn:aws:dynamodb:us-east-2:account-ID-without-hyphens
:table/magazines_table" ]
リソース ARN でのポリシー変数の使用
Resource
要素では、特定のリソースを示す ARN の一部 (つまり、ARN の末尾部分) で JSON ポリシー変数を使用できます。たとえば、リソース ARN の一部としてキー {aws:username}
を使用することで、現在のユーザー名をリソースの名前の一部として含める必要があることを示すことができます。以下の例は、{aws:username}
要素内での Resource
キーの使用方法を示します。ポリシーは、現在のユーザー名に一致する Amazon DynamoDB テーブルへのアクセスを許可します。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:
account-id
:table/${aws:username}" } }
JSON ポリシー変数の詳細については、「IAM ポリシーの要素: 変数とタグ」を参照してください。