Amazon リソースネーム (ARN) - AWS 全般のリファレンス
形式リソース ARN

Amazon リソースネーム (ARN)

Amazon リソースネーム (ARN) は、AWS リソースを一意に識別します。IAM ポリシー、Amazon Relational Database Service (Amazon RDS) タグ、API コールなど、明らかに全 AWS に渡るリソースを指定する必要がある場合、ARN が必要です。

コンテンツ

形式

ARN の一般的な形式を次に示します。具体的な形式は、リソースによって異なります。ARN を使用するには、イタリック体のテキストを、リソース固有の情報に置き換えます。一部のリソースの ARN では、リージョン、アカウント ID、または、リージョンとアカウント ID の両方が省略されていることに注意してください。 

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id
パーティション

リソースが置かれているパーティション。パーティションは AWS リージョンのグループです。各 AWS アカウントのスコープは 1 つのパーティションです。

サポートされているパーティションは以下のとおりです。

  • aws - AWS リージョン

  • aws-cn - AWS 中国リージョン

  • aws-us-gov - AWS GovCloud (US) リージョン

service

AWS 製品を識別するサービス名前空間。たとえば、Amazon S3 リソース、s3 の場合。

リージョン

リージョン。たとえば、米国東部 (オハイオ) の us-east-2 を設定します。

account-id

リソースを所有しておりハイフンがない AWS アカウントの ID。たとえば、123456789012 と指定します。

resource-id

リソース識別子。ARN のこの部分は、リソースの名前か ID、またはリソースパスです。たとえば、IAM ユーザーの user/Bob、または EC2 インスタンス の instance/i-1234567890abcdef0 です。一部のリソース識別子には、親リソース (sub-resource-type/parent-resource/sub-resource) またはバージョン (resource-type:resource-name:qualifier) などの修飾子が含まれます。

ARN のパス

リソース ARN にはパスを含めることができます。たとえば Amazon S3 では、リソース ID はスラッシュ (/) を挿入してパスを作成することができるオブジェクト名です。同様に、IAM ユーザー名とグループ名にはパスを含めることができます。

パスには、ワイルドカード文字、アスタリスク (*) を含めることができます。たとえば、IAM ポリシーを記述する場合、次のようなワイルドカードを使用して、パス product_1234 を持つすべての IAM ユーザーを指定できます。 

arn:aws:iam::123456789012:user/Development/product_1234/*

同様に、次の例に示すように、全ユーザーを意味する user/* や全グループを意味する group/* を指定できます。 

"Resource":"arn:aws:iam::123456789012:user/*"
"Resource":"arn:aws:iam::123456789012:group/*"

ワイルドカードを使用して、リソースベースのポリシーまたはロール信頼ポリシーで Principal 要素のすべてのユーザーを指定することはできません。グループは、どのポリシーでもプリンシパルとしてサポートされていません。

次の例は、リソース名にパスが含まれる Amazon S3 バケットの ARN を示しています。

arn:aws:s3:::my_corporate_bucket/*
arn:aws:s3:::my_corporate_bucket/Development/*

IAM ARN の用語「user」など、リソースタイプを指定する ARN の一部では、ワイルドカードを使用することはできません。

次のような使い方はできません。

arn:aws:iam::123456789012:u*

リソース ARN

AWS Identity and Access Management (IAM) のドキュメントには、リソースレベルのアクセス許可で使用するために各サービスでサポートされる ARN が記載されています。詳細については、IAM ユーザーガイド の「AWS サービスのアクション、リソース、および条件キー」を参照してください。