AWS Batch API アクションでサポートされるリソースレベルのアクセス許可 - AWS Batch

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Batch API アクションでサポートされるリソースレベルのアクセス許可

リソースレベルのアクセス許可という用語は、ユーザーがアクションを実行可能なリソースを指定できることを示します。AWS Batch では、リソースレベルのアクセス許可が部分的にサポートされています。いくつかの AWS Batch アクションでは、満たすべき条件に基づいて、ユーザーがそのアクションを使用できるようになるタイミングを制御できます。ユーザーが使用できる特定のリソースに基づいて制御することもできます。たとえば、特定のジョブ定義がある特定のジョブキューでのみ、ジョブを送信するアクセス許可をユーザーに付与できます。

現在、リソースレベルのアクセス許可をサポートしている AWS Batch ルール API アクションのリストを以下に示します。各アクションでサポートされるリソース、リソース ARN、条件キーについても説明しています。

重要

AWS Batch API アクションがこの表に示されていない場合、リソースレベルのアクセス許可をサポートしていません。AWS Batch API アクションがリソースレベルのアクセス許可をサポートしていない場合、アクションを使用するアクセス許可をユーザーに付与できます。ただし、ポリシーステートメントのリソース要素にワイルドカード (*) を含める必要があります。

CancelJob

AWS Batch キュー内のジョブをキャンセルします。

リソース]
ジョブ

arn:aws:batch:region:account:job/jobId

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

CreateComputeEnvironment

AWS Batchコンピューティング環境を作成します。

リソース]
コンピューティング環境

arn:aws:batch:region:account:compute-environment/compute-environment-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

条件キー
aws:RequestTag/${TagKey} (文字列)

リクエストで渡されたタグに基づいてアクションをフィルタリングします。

aws:TagKeys (文字列)

リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。

CreateJobQueue

AWS Batch ジョブキューを作成します。

リソース]
コンピューティング環境

arn:aws:batch:region:account:compute-environment/compute-environment-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブキュー

arn:aws:batch:region:account:job-queue/queue-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

条件キー
aws:RequestTag/${TagKey} (文字列)

リクエストで渡されたタグに基づいてアクションをフィルタリングします。

aws:TagKeys (文字列)

リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。

DeleteComputeEnvironment

AWS Batch コンピューティング環境を削除します。

リソース]
コンピューティング環境

arn:aws:batch:region:account:compute-environment/compute-environment-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

CreateSchedulingPolicy

AWS Batchスケジューリングポリシーを作成します。

リソース]
スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

条件キー
aws:RequestTag/${TagKey} (文字列)

リクエストで渡されたタグに基づいてアクションをフィルタリングします。

aws:TagKeys (文字列)

リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。

DeleteJobQueue

指定されたジョブキューを削除します。ジョブキューを削除すると、最終的にキュー内のすべてのジョブが削除されます。ジョブは、毎秒約 16 ジョブの割合で削除されます。

リソース]
ジョブキュー

arn:aws:batch:region:account:job-queue/queue-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

DeleteSchedulingPolicy

指定されたスケジューリングポリシーを削除します。

リソース]
スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

DeregisterJobDefinition

AWS Batch ジョブの定義を登録解除します。

リソース]
ジョブ定義

arn:aws:batch:region:account:job-definition/definition-name:revision

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ListTagsForResource

指定したリソースのタグを一覧表示します。

リソース]
コンピューティング環境

arn:aws:batch:region:account:compute-environment/compute-environment-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブ

arn:aws:batch:region:account:job/jobId

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブ定義

arn:aws:batch:region:account:job-definition/definition-name:revision

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブキュー

arn:aws:batch:region:account:job-queue/queue-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

RegisterJobDefinition

AWS Batch定義を登録します。

リソース]
ジョブ定義

arn:aws:batch:region:account:job-definition/definition-name

条件キー
batch:AWSLogsCreateGroup (ブール)

このパラメータが true の場合、awslogs-group がログに対して作成されます。

batch:AWSLogsGroup (文字列)

ログが配置されている awslogs グループ。

batch:AWSLogsRegion (文字列)

ログが送信されるリージョン。

batch:AWSLogsStreamPrefix (文字列)

awslogs ログストリームのプレフィックス。

batch:Image (文字列)

ジョブを開始するときに使用される Docker イメージ。

batch:LogDriver (文字列)

ジョブに使用されるログドライバー。

batch:Privileged (ブール)

このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス許可が付与されます。

batch:User (文字列)

ジョブのコンテナ内で使用するユーザー名または数値 uid。

aws:RequestTag/${TagKey} (文字列)

リクエストで渡されたタグに基づいてアクションをフィルタリングします。

aws:TagKeys (文字列)

リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。

SubmitJob

ジョブ定義から AWS Batch ジョブを送信します。

リソース]
ジョブ

arn:aws:batch:region:account:job/jobId

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブ定義

arn:aws:batch:region:account:job-definition/definition-name[:revision]

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

注記

このキーは、ジョブ定義の Amazon リソースネーム (ARN) が arn:aws:batch:region:account_number:job-definition/definition-name:revision. の形式の場合にのみ使用できます。

ジョブキュー

arn:aws:batch:region:account:job-queue/queue-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

TagResource

指定されたリソースをタグ付けします。

リソース]
コンピューティング環境

arn:aws:batch:region:account:compute-environment/compute-environment-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブ

arn:aws:batch:region:account:job/jobId

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブ定義

arn:aws:batch:region:account:job-definition/definition-name:revision

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブキュー

arn:aws:batch:region:account:job-queue/queue-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

条件キー
aws:RequestTag/${TagKey} (文字列)

リクエストで渡されたタグに基づいてアクションをフィルタリングします。

aws:TagKeys (文字列)

リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。

TerminateJob

AWS Batch ジョブキュー内のジョブを終了します。

リソース]
ジョブ

arn:aws:batch:region:account:job/jobId

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

UntagResource

指定されたリソースのタグを解除します。

リソース]
コンピューティング環境

arn:aws:batch:region:account:compute-environment/compute-environment-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブ

arn:aws:batch:region:account:job/jobId

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブ定義

arn:aws:batch:region:account:job-definition/definition-name:revision

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

ジョブキュー

arn:aws:batch:region:account:job-queue/queue-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

条件キー
aws:TagKeys (文字列)

リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。

UpdateComputeEnvironment

AWS Batch コンピューティング環境を更新します。

リソース]
コンピューティング環境

arn:aws:batch:region:account:compute-environment/compute-environment-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

UpdateJobQueue

ジョブキューを更新します。

リソース]
ジョブキュー

arn:aws:batch:region:account:job-queue/queue-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

UpdateSchedulingPolicy

スケジューリングポリシーを更新します。

リソース]
スケジューリングポリシー

arn:aws:batch:region:account:scheduling-policy/scheduling-policy-name

条件キー
aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

AWS Batch API のアクションの条件キー

AWS Batch は、IAM ポリシーの Condition 要素で使用される以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件を絞り込むことができます。すべてのサービスで使用できるグローバル条件キーを確認するには、IAM ユーザーガイド使用できるグローバル条件キーを参照してください。

batch:AWSLogsCreateGroup (ブール)

このパラメータが true の場合、awslogs-group がログに対して作成されます。

batch:AWSLogsGroup (文字列)

ログが配置されている awslogs グループ。

batch:AWSLogsRegion (文字列)

ログが送信される AWS リージョン。

batch:AWSLogsStreamPrefix (文字列)

awslogs ログストリームのプレフィックス。

batch:Image (文字列)

ジョブを開始するときに使用される Docker イメージ。

batch:LogDriver (文字列)

ジョブに使用されるログドライバー。

batch:Privileged (ブール)

このパラメータが true のとき、ジョブコンテナには、ホストコンテナインスタンスに対する昇格されたアクセス許可 (ルートユーザーと同様) が付与されます。

aws:ResourceTag/${TagKey} (文字列)

リソースに関連付けられているタグに基づいてアクションをフィルタリングします。

aws:RequestTag/${TagKey} (文字列)

リクエストで渡されたタグに基づいてアクションをフィルタリングします。

batch:ShareIdentifier (文字列)

SubmitJob に送られた shareIdentifier パラメータに基づいたアクションをフィルタリングします。

aws:TagKeys (文字列)

リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。

batch:User (文字列)

ジョブのコンテナ内で使用するユーザー名または数値ユーザー ID (uid)。