AWS Firewall Manager のアクション、リソース、および条件キー

AWS Firewall Manager (サービスプレフィックス: fms) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

AWS Firewall Manager で定義されるアクション
AWS Firewall Manager で定義されるリソースタイプ
AWS Firewall Manager の条件キー

AWS Firewall Manager で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー
AssociateAdminAccount	AWS Firewall Manager 管理者アカウントを設定し、すべての組織アカウントのサービスを有効にするアクセス許可を付与します	書き込み
AssociateThirdPartyFirewall	Firewall Manager 管理者を、サードパーティーのファイアウォールサービスのテナント管理者として設定するアクセス許可を付与します	書き込み
BatchAssociateResource	AWS Firewall Manager リソースセットにリソースを関連付ける許可を付与	書き込み	resource-set*
BatchDisassociateResource	AWS Firewall Manager リソースセットのリソースの関連付けを解除する許可を付与	書き込み	resource-set*
DeleteAppsList	AWS Firewall Manager アプリケーションリストを完全に削除する許可を付与	書き込み	applications-list*
DeleteNotificationChannel	AWS Firewall Manager の IAM ロールとの関連付け、および組織全体の重要な FM イベントやエラーを FM 管理者に通知するために使用する Amazon Simple Notification Service (SNS) トピックとの関連付けを削除するアクセス許可を付与します	書き込み
DeletePolicy	AWS Firewall Manager ポリシーを恒久的に削除するアクセス許可を付与します	書き込み	policy*
DeletePolicy	AWS Firewall Manager ポリシーを恒久的に削除するアクセス許可を付与します	書き込み		aws:ResourceTag/${TagKey}
DeleteProtocolsList	AWS Firewall Manager プロトコルリストを恒久的に削除するアクセス許可を付与します	書き込み	protocols-list*
DeleteResourceSet	AWS Firewall Manager リソースセットを恒久的に削除する許可を付与	書き込み	resource-set*
DeleteResourceSet	AWS Firewall Manager リソースセットを恒久的に削除する許可を付与	書き込み		aws:ResourceTag/${TagKey}
DisassociateAdminAccount	AWS Firewall Manager 管理者アカウントとして設定されているアカウントの関連付けを解除するアクセス許可を付与し、すべての組織アカウントでサービスを無効にします	書き込み
DisassociateThirdPartyFirewall	Firewall Manager 管理者とサードパーティのファイアウォールテナントとの関連付けを解除するアクセス許可を付与します	書き込み
GetAdminAccount	AWS Firewall Manager 管理者として AWS Firewall Manager に関連付けられた AWS Organizations アカウントを返すための許可を付与します	読み込み
GetAdminScope	指定されたアカウントの管理者の権限適用範囲に関する情報を返す許可を付与します	読み込み
GetAppsList	指定された AWS Firewall Manager アプリケーションリストの情報を返すアクセス許可を付与します	読み込み	applications-list*
GetComplianceDetail	指定されたメンバーアカウントについての詳細なコンプライアンス情報を取得する許可を付与。詳細には、指定されたポリシーに準拠しているかどうかにかかわらず、リソースが含まれます	読み込み	policy*
GetNotificationChannel	AWS Firewall Manager の SNS ログを記録するために使用される Amazon Simple Notification Service (SNS) トピックの情報を取得するアクセス許可を付与します	読み込み
GetPolicy	指定された AWS Firewall Manager ポリシーの情報を取得するアクセス許可を付与します	読み込み	policy*
GetProtectionStatus	DDoS 攻撃の可能性が発生した場合に、ポリシーレベルの攻撃概要情報を取得する許可を付与	読み込み	policy*
GetProtocolsList	指定された AWS Firewall Manager プロトコルリストの情報を返すアクセス許可を付与します	読み込み	protocols-list*
GetResourceSet	指定された AWS Firewall Manager リソースセットに関する情報を取得する許可を付与	読み込み	resource-set*
GetThirdPartyFirewallAssociationStatus	サードパーティーのファイアウォールベンダーのテナントに Firewall Manager 管理者アカウントのオンボーディングステータスを取得するアクセス許可を付与します	読み込み
GetViolationDetails	指定された AWS Firewall Manager ポリシーと AWS アカウントに基づいて、リソースに対する違反を取得するアクセス許可を付与します	読み込み	policy*
ListAdminAccountsForOrganization	AssociateAdminAccount によって Firewall Manager にオンボーディングされた組織内の Firewall Manager 管理者を一覧表示する AdminAccounts オブジェクトを返す許可を付与します	リスト
ListAdminsManagingAccount	指定された AWS Organizations のメンバーアカウントを管理しているアカウントを一覧表示する許可を付与します	リスト
ListAppsLists	AppsListDataSummary オブジェクトの配列を返すアクセス許可を付与します	リスト
ListComplianceStatus	レスポンス内の PolicyComplianceStatus オブジェクトの配列を取得する許可を付与。PolicyComplianceStatus を使用して、指定されたポリシーによって保護されているメンバーアカウントの概要を取得します	リスト	policy*
ListDiscoveredResources	リソースセットに関連付けることのできる組織アカウント内のリソースの配列を取得する許可を付与	リスト
ListMemberAccounts	発信者が FMS 管理者アカウントの場合、メンバーアカウント ID の配列を取得するためのアクセス許可を付与します	リスト
ListPolicies	レスポンス内の PolicySummary オブジェクトの配列を取得する許可を付与。	リスト
ListProtocolsLists	ProtocolsListDataSummary オブジェクトの配列を返すアクセス許可を付与します	リスト
ListResourceSetResources	リソースセットに現在関連付けられているリソースの配列を取得する許可を付与	リスト	resource-set*
ListResourceSets	ResourceSetSummary オブジェクトの配列を取得する許可を付与	リスト
ListTagsForResource	リソースのタグを一覧表示する許可を付与	読み込み	policy*
ListThirdPartyFirewallFirewallPolicies	サードパーティーのファイアウォール管理者のアカウントに関連付けられているすべてのサードパーティー製ファイアウォールポリシーのリストを取得するアクセス許可を付与します	リスト
PutAdminAccount	Firewall Manager 管理者アカウントを作成または更新する許可を付与します	書き込み
PutAppsList	AWS Firewall Manager アプリケーションリストを作成するアクセス許可を付与します	書き込み	applications-list*
PutAppsList	AWS Firewall Manager アプリケーションリストを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
PutNotificationChannel	AWS Firewall Manager (FM) が FM 管理者に組織全体の重要な FM イベントやエラーを通知するために使用できる IAM ロールと Amazon Simple Notification Service (SNS) トピックを指定するアクセス許可を付与します	書き込み
PutPolicy	AWS Firewall Manager ポリシーを作成するアクセス許可を付与します	書き込み	policy*
PutPolicy	AWS Firewall Manager ポリシーを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
PutProtocolsList	AWS Firewall Manager プロトコルリストを作成するアクセス許可を付与します	書き込み	protocols-list*
PutProtocolsList	AWS Firewall Manager プロトコルリストを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
PutResourceSet	AWS Firewall Manager リソースセットを作成する許可を付与	書き込み	resource-set*
PutResourceSet	AWS Firewall Manager リソースセットを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
TagResource	リソースにタグを追加する許可を付与	タグ付け	applications-list
			policy
			protocols-list
			resource-set
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	リソースからタグを削除する許可を付与	タグ付け	applications-list
			policy
			protocols-list
			resource-set
				aws:TagKeys

AWS Firewall Manager で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
policy	`arn:${Partition}:fms:${Region}:${Account}:policy/${Id}`	aws:ResourceTag/${TagKey}
applications-list	`arn:${Partition}:fms:${Region}:${Account}:applications-list/${Id}`	aws:ResourceTag/${TagKey}
protocols-list	`arn:${Partition}:fms:${Region}:${Account}:protocols-list/${Id}`	aws:ResourceTag/${TagKey}
resource-set	`arn:${Partition}:fms:${Region}:${Account}:resource-set/${Id}`	aws:ResourceTag/${TagKey}

AWS Firewall Manager の条件キー

AWS Firewall Manager では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリング	文字列
aws:ResourceTag/${TagKey}	リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリング	文字列
aws:TagKeys	リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングする	ArrayOfString

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon FinSpace API

Amazon Forecast