アクション、リソース、条件キー: AWS サービス

[アクセスレベル] 列では、アクションの指定方法 (リスト、読み取り、書き込み、アクセス許可管理、タグ付け) について説明します。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、「ポリシー概要内のアクセスレベルの概要について」を参照してください。

[リソースタイプ] 列は、アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。列が空の場合、アクションはリソースレベルのアクセス許可をサポートしておらず、ポリシーですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ポリシーの Resource要素ARNでリソースを指定できます。リソースの詳細については、[リソースタイプ] テーブルの該当する行を参照してください。1 つのステートメントに含まれるアクションやリソースはすべて、相互に互換性がある必要があります。アクションに対して有効でないリソースを指定した場合、そのアクションを使用するリクエストは失敗し、ステートメントの Effect は適用されません。

必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントARNでリソースレベルのアクセス許可を指定する場合は、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

[条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。条件キーは、アクション、またはアクションと特定のリソースでサポートされる場合があります。キーが特定のリソースタイプと同じ行にあるかどうかには細心の注意を払ってください。このテーブルには、アクションに使用可能な、または無関係な状況のグローバル条件キーは含まれていません。グローバル条件キーの詳細については、「」を参照してください。 AWS グローバル条件コンテキストキー 。

[依存アクション] 列には、アクションそのもののアクセス許可に加えて、アクションを適切に呼び出すために持っておくべき追加のアクセス許可が含まれています。これは、アクションで複数のリソースにアクセスする場合に必要です。

依存アクションは、一部のシナリオで必要とならない場合があります。ユーザーへの詳細な権限の付与について詳しくは、個々のサービスに関する資料を参照してください。

ARN 列は、このタイプのリソースを参照するために使用する必要がある Amazon リソースネーム (ARN) 形式を指定します。$ で始まる部分は、お客様の状況で実際の値に置き換える必要があります。例えば、 $user-nameに と表示されている場合はARN、その文字列を実際のユーザー名またはユーザー名を含むポリシー変数に置き換える必要があります。の詳細については、ARNsIAMARNs「」を参照してください。

条件キー列は、このリソースと上記の表のサポートアクションの両方がステートメントに含まれている場合にのみ、IAMポリシーステートメントに含めることができる条件コンテキストキーを指定します。

[タイプ] 列では、条件キーのデータタイプを指定します。このデータタイプを使用して、リクエストの値と、ポリシーステートメントの値の比較に使用できる条件演算子を特定します。データタイプに適切な演算子を使用する必要があります。不適切な演算子を使用した場合、条件は一致しないため、ポリシーステートメントは適用されません。

[タイプ] 列でシンプルなタイプの「リスト」を指定した場合、ポリシーで複数のキーおよび値を使用することができます。これは、演算子で条件設定プレフィックスを使用して行います。ForAllValues プレフィックスを使用して、リクエスト内のすべての値がポリシーステートメントの値と一致する必要があることを指定します。ForAnyValue プレフィックスを使用して、リクエスト内の少なくとも 1 つの値がポリシーステートメントの値の 1 つと一致することを指定します。