Amazon リソースネーム (ARN)
Amazon リソースネーム (ARN) は、AWS リソースを一意に識別します。IAM ポリシー、Amazon Relational Database Service (Amazon RDS) タグ、API コールなど、明らかに全 AWS に渡るリソースを指定する必要がある場合、ARN が必要です。
形式
ARN の一般的な形式を次に示します。具体的な形式は、リソースによって異なります。ARN を使用するには、イタリック体
のテキストを、リソース固有の情報に置き換えます。一部のリソースの ARN では、リージョン、アカウント ID、または、リージョンとアカウント ID の両方が省略されていることに注意してください。
arn:
partition
:service
:region
:account-id
:resource-id
arn:partition
:service
:region
:account-id
:resource-type
/resource-id
arn:partition
:service
:region
:account-id
:resource-type
:resource-id
パーティション
-
リソースが置かれているパーティション。パーティションは AWS リージョンのグループです。各 AWS アカウントのスコープは 1 つのパーティションです。
サポートされているパーティションは以下のとおりです。
-
aws
- AWS リージョン -
aws-cn
- AWS 中国リージョン -
aws-us-gov
- AWS GovCloud (US) リージョン
-
service
-
AWS 製品を識別するサービス名前空間。たとえば、Amazon S3 リソース、
s3
の場合。 リージョン
-
リージョン。たとえば、米国東部 (オハイオ) の
us-east-2
を設定します。 account-id
-
リソースを所有しておりハイフンがない AWS アカウントの ID。たとえば、
123456789012
と指定します。 resource-id
-
リソース識別子。ARN のこの部分は、リソースの名前か ID、またはリソースパスです。たとえば、IAM ユーザーの
user/Bob
、または EC2 インスタンス のinstance/i-1234567890abcdef0
です。一部のリソース識別子には、親リソース (sub-resource-type/parent-resource/sub-resource) またはバージョン (resource-type:resource-name:qualifier) などの修飾子が含まれます。
ARN のパス
リソース ARN にはパスを含めることができます。たとえば Amazon S3 では、リソース ID はスラッシュ (/
) を挿入してパスを作成することができるオブジェクト名です。同様に、IAM ユーザー名とグループ名にはパスを含めることができます。
パスには、ワイルドカード文字、アスタリスク (*
) を含めることができます。たとえば、IAM ポリシーを記述する場合、次のようなワイルドカードを使用して、パス product_1234
を持つすべての IAM ユーザーを指定できます。
arn:aws:iam::123456789012:user/Development/product_1234/*
同様に、次の例に示すように、全ユーザーを意味する user/*
や全グループを意味する group/*
を指定できます。
"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"
ワイルドカードを使用して、リソースベースのポリシーまたはロール信頼ポリシーで Principal
要素のすべてのユーザーを指定することはできません。グループは、どのポリシーでもプリンシパルとしてサポートされていません。
次の例は、リソース名にパスが含まれる Amazon S3 バケットの ARN を示しています。
arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*
IAM ARN の用語「user
」など、リソースタイプを指定する ARN の一部では、ワイルドカードを使用することはできません。
次のような使い方はできません。
arn:aws:iam::123456789012:u* |
リソース ARN
AWS Identity and Access Management (IAM) のドキュメントには、リソースレベルのアクセス許可で使用するために各サービスでサポートされる ARN が記載されています。詳細については、IAM ユーザーガイド の「AWS サービスのアクション、リソース、および条件キー」を参照してください。