AWS 全般のリファレンス
リファレンスガイド (Version 1.0)

Amazon リソースネーム (ARN)

Amazon リソースネーム (ARN) は、AWS リソースを一意に識別します。IAM ポリシー、Amazon Relational Database Service (Amazon RDS) タグ、API コールなど、明らかに全 AWS に渡るリソースを指定する必要がある場合、ARN が必要です。

コンテンツ

ARN 形式

次は ARN の一般的な形式です; 使用する特定のコンポーネントと値は AWS サービスによって異なります。ARN を使用するには、例で赤の斜体で示されているテキストを自分の情報に置き換えます。

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
パーティション

リソースが置かれているパーティションです。標準の AWS リージョンの場合、パーティションは aws です。他のパーティションにリソースがある場合、パーティションは aws-partitionname です。たとえば、 リージョンにあるリソースのパーティションは、 です。

service

AWS 製品(例: Amazon S3、IAM、Amazon RDS)を識別するサービス名前空間。

リージョン

リソースが置かれているリージョンです。一部のリソースの ARN はリージョンを必要としないので、この要素は省略されます。

account-id

リソースを所有しておりハイフンがない AWS アカウントの ID。たとえば、123456789012 と指定します。一部のリソースの ARN はアカウント番号を必要としないので、この要素は省略されます。

resource または resource-type

ARN のこの部分のコンテンツは、サービスによって異なります。リソース識別子は、リソースの名前または ID(たとえば、user/Bob または instance/i-1234567890abcdef0)または リソースパスです。たとえば、一部のリソース識別子には、親リソース (sub-resource-type/parent-resource/sub-resource) またはバージョン (resource-type:resource-name:qualifier) などの修飾子が含まれます。

ARN のパス

一部のリソース ARN にはパスを含めることができます。たとえば Amazon S3 では、リソース ID はスラッシュ(/)を挿入してパスを作成することができるオブジェクト名です。同様に、IAM ユーザー名とグループ名にはパスを含めることができます。

特定の状況では、パスにワイルドカード文字、すなわちアスタリスク(*)を含めることができます。たとえば、IAM ポリシーを記述する場合、次のようなワイルドカードを使用して、パス product_1234 を持つすべての IAM ユーザーを指定できます。

arn:aws:iam::123456789012:user/Development/product_1234/*

同様に、次の例に示すように、全ユーザーを意味する user/* や全グループを意味する group/* を指定できます。

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

ワイルドカードを使用して、リソースベースのポリシーまたはロール信頼ポリシーで Principal 要素のすべてのユーザーを指定することはできません。グループは、どのポリシーでもプリンシパルとしてサポートされていません。

次の例は、リソース名にパスが含まれる Amazon S3 バケットの ARN を示しています。

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*

IAM ARN の用語「user」など、リソースタイプを指定する ARN の一部では、ワイルドカードを使用することはできません。

次のような使い方はできません。

arn:aws:iam::123456789012:u*

リソース ARN

AWS Identity and Access Management (IAM) のドキュメントには、各サービスでサポートされる ARN と、API アクションがリソースレベルのアクセス許可をサポートしているかどうかが記載されています。詳細については、IAM ユーザーガイド の「AWS サービスのアクション、リソース、および条件キー」を参照してください。

以下のリソースは、IAM ユーザーガイド で説明されているように、AWS のサービスによって定義されます。

このページの内容: