Amazon EC2 のアクション、リソース、および条件キー
Amazon EC2 (サービスプレフィックス: ec2) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon EC2 で定義されるアクション
IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の
API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク
(*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション
(必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AcceptReservedInstancesExchangeQuote | コンバーティブルリザーブドインスタンス交換の見積もりを受け入れるアクセス許可を付与します | Write | |||
| AcceptTransitGatewayMulticastDomainAssociations | サブネットをトランジットゲートウェイのマルチキャストドメインに関連付けるリクエストを受け入れる権限を付与します | Write | |||
| AcceptTransitGatewayPeeringAttachment | トランジットゲートウェイピアリングアタッチメントリクエストを受け入れるアクセス許可を付与します | Write | |||
| AcceptTransitGatewayVpcAttachment | VPC をトランジットゲートウェイにアタッチするリクエストを受け入れるアクセス許可を付与します | Write | |||
| AcceptVpcEndpointConnections | VPC エンドポイントサービスへの 1 つ以上のインターフェイス VPC エンドポイント接続を受け入れるアクセス許可を付与します | Write | |||
| AcceptVpcPeeringConnection | VPC ピア接続リクエストを受け入れるアクセス許可を付与します | Write | |||
| AdvertiseByoipCidr | 独自の IP アドレス (BYOIP) を使用して、AWS で使用するためにプロビジョニングされた IP アドレス範囲をアドバタイズする許可を付与 | Write | |||
| AllocateAddress | Elastic IP アドレス (EIP) をアカウントに割り当てるアクセス許可を付与します | Write |
ec2:CreateTags |
||
| AllocateHosts | アカウントに Dedicated Host を割り当てるアクセス許可を付与します | Write |
ec2:CreateTags |
||
| ApplySecurityGroupsToClientVpnTargetNetwork | クライアント VPN エンドポイントとターゲットネットワーク間の関連付けにセキュリティグループを適用する許可を付与 | Write | |||
| AssignIpv6Addresses | ネットワークインターフェイスに 1 つ以上の IPv6 アドレスを割り当てるアクセス許可を付与します | Write | |||
| AssignPrivateIpAddresses | ネットワークインターフェイスに 1 つ以上のセカンダリプライベート IP アドレスを割り当てるアクセス許可を付与します | Write | |||
| AssociateAddress | Elastic IP アドレス (EIP) をインスタンスまたはネットワークインターフェイスに関連付けるアクセス許可を付与します | Write | |||
| AssociateClientVpnTargetNetwork | ターゲットネットワークをクライアント VPN エンドポイントに関連付けるアクセス許可を付与します | Write | |||
| AssociateDhcpOptions | DHCP オプションセットを VPC に関連付けたり、関連付けを解除したりする許可を付与 | Write | |||
| AssociateEnclaveCertificateIamRole | EC2 Enclave で使用する IAM ロールに ACM 証明書を関連付ける権限を付与します。 | Write | |||
| AssociateIamInstanceProfile | IAM インスタンスプロファイルを実行中または停止中のインスタンスに関連付けるアクセス許可を付与します | Write |
iam:PassRole |
||
| AssociateInstanceEventWindow | 1 つ以上のターゲットをイベントウィンドウと関連付ける許可を付与 | Write | |||
| AssociateRouteTable | サブネットまたはゲートウェイをルートテーブルに関連付けるアクセス許可を付与します | Write | |||
| AssociateSubnetCidrBlock | CIDR ブロックをサブネットに関連付けるアクセス許可を付与します | Write | |||
| AssociateTransitGatewayMulticastDomain | アタッチメントとサブネットのリストをトランジットゲートウェイのマルチキャストドメインに関連付けるアクセス許可を付与します | Write | |||
| AssociateTransitGatewayRouteTable | アタッチメントをトランジットゲートウェイのルートテーブルに関連付けるアクセス許可を付与します | Write | |||
| AssociateTrunkInterface | ブランチネットワークインターフェイスをトランクネットワークインターフェイスと関連付ける許可を付与 | Write | |||
| AssociateVpcCidrBlock | CIDR ブロックを VPC に関連付けるアクセス許可を付与します | Write | |||
| AttachClassicLinkVpc | 1 つ以上の VPC のセキュリティグループを介して、EC2-Classic インスタンスを ClassicLink 対応の VPC にリンクする許可を付与 | Write | |||
| AttachInternetGateway | インターネットゲートウェイを VPC にアタッチする許可を付与 | Write | |||
| AttachNetworkInterface | インスタンスにネットワークインターフェイスをアタッチする許可を付与 | Write | |||
| AttachVolume | 実行中または停止中のインスタンスに EBS ボリュームをアタッチし、指定したデバイス名でインスタンスに公開する許可を付与 | Write | |||
| AttachVpnGateway | 仮想プライベートゲートウェイを VPC にアタッチする許可を付与 | Write | |||
| AuthorizeClientVpnIngress | インバウンド承認ルールをクライアント VPN エンドポイントに追加する許可を付与 | Write | |||
| AuthorizeSecurityGroupEgress | VPC セキュリティグループに 1 つ以上のアウトバウンドルールを追加する許可を付与 | Write |
ec2:CreateTags |
||
| AuthorizeSecurityGroupIngress | セキュリティグループに 1 つ以上のインバウンドルールを追加する許可を付与 | Write |
ec2:CreateTags |
||
| BundleInstance | インスタンスストアでバックアップされた Windows インスタンスをバンドルする許可を付与 | Write | |||
| CancelBundleTask | バンドル操作をキャンセルする許可を付与 | Write | |||
| CancelCapacityReservation | キャパシティーの予約をキャンセルし、リザーブドキャパシティーを解放する許可を付与 | Write | |||
| CancelCapacityReservationFleets | 1 つ以上のキャパシティー予約フリートをキャンセルするためのアクセス許可を付与する | Write | |||
| CancelConversionTask | アクティブな変換タスクをキャンセルする許可を付与 | Write | |||
| CancelExportTask | アクティブなエクスポートタスクをキャンセルする許可を付与 | Write | |||
| CancelImportTask | インプロセスインポート仮想マシンまたはスナップショットタスクのインポートをキャンセルする許可を付与 | Write | |||
| CancelReservedInstancesListing | リザーブドインスタンスマーケットプレイスでのリザーブドインスタンスの出品をキャンセルする許可を付与 | Write | |||
| CancelSpotFleetRequests | 1 つ以上のスポットフリートリクエストをキャンセルする許可を付与 | Write | |||
| CancelSpotInstanceRequests | 1 つ以上のスポットインスタンスリクエストをキャンセルする許可を付与 | Write | |||
| ConfirmProductInstance | 所有する製品コードがインスタンスに関連付けられているかどうかを決定する許可を付与 | Write | |||
| CopyFpgaImage | ソースの Amazon FPGA イメージ (AFI) を現在のリージョンにコピーする許可を付与。このアクション用に指定されたリソースレベルのアクセス許可は、新しい AFI にのみ適用されます。ソース AFI には適用されません | Write | |||
| CopyImage | Amazon マシンイメージ (AMI) をソースリージョンから現在のリージョンにコピーする許可を付与。このアクション用に指定されたリソースレベルのアクセス許可は、新しい AMI にのみ適用されます。ソース AMI には適用されません | Write | |||
| CopySnapshot | EBS ボリュームのポイントインタイムスナップショットをコピーし、Amazon S3 に保存する許可を付与。このアクション用に指定されたリソースレベルのアクセス許可は、新しいスナップショットにのみ適用されます。ソーススナップショットには適用されません | Write |
ec2:CreateTags |
||
| CreateCapacityReservation | キャパシティーの予約を作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateCapacityReservationFleet | キャパシティー予約フリートを作成するためのアクセス許可を付与する | Write |
ec2:CreateTags |
||
| CreateCarrierGateway | キャリアゲートウェイを作成するアクセス許可を付与し、VPC カスタマーに CSP 接続を提供します | Write |
ec2:CreateTags |
||
| CreateClientVpnEndpoint | クライアント VPN エンドポイントを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateClientVpnRoute | クライアント VPN エンドポイントのルートテーブルにネットワークルートを追加する許可を付与 | Write | |||
| CreateCustomerGateway | カスタマーゲートウェイを作成するアクセス許可を付与し、これにより、カスタマーゲートウェイデバイスに関する情報が AWS に提供されます | Write |
ec2:CreateTags |
||
| CreateDefaultSubnet | デフォルト VPC の指定されたアベイラビリティーゾーンにデフォルトサブネットを作成する許可を付与 | Write | |||
| CreateDefaultVpc | 各アベイラビリティーゾーンにデフォルトサブネットを持つデフォルト VPC を作成する許可を付与 | Write | |||
| CreateDhcpOptions | VPC の DHCP オプションのセットを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateEgressOnlyInternetGateway | VPC の出力専用インターネットゲートウェイを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateFleet | EC2 フリートを起動する許可を付与 | Write |
ec2:CreateTags |
||
| CreateFlowLogs | ネットワークインターフェイスの IP トラフィックをキャプチャするための 1 つ以上のフローログを作成する許可を付与 | Write |
ec2:CreateTags iam:PassRole |
||
| CreateFpgaImage | 設計チェックポイント (DCP) から Amazon FPGA イメージ (AFI) を作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateImage | 停止または実行中の Amazon EBS-backed インスタンスから Amazon EBS-backed AMI を作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateInstanceEventWindow | 関連付けられた Amazon EC2 インスタンスのスケジュールされたイベントを実行できるイベントウィンドウを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateInstanceExportTask | 実行中のインスタンスまたは停止したインスタンスを Amazon S3 バケットにエクスポートする許可を付与 | Write |
ec2:CreateTags |
||
| CreateInternetGateway | VPC のインターネットゲートウェイを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateKeyPair | 2048 ビット RSA キーペアを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateLaunchTemplate | 起動テンプレートを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateLaunchTemplateVersion | 起動テンプレートの新しいバージョンを作成する許可を付与 | Write | |||
| CreateLocalGatewayRoute | ローカルゲートウェイルートテーブルの静的ルートを作成する許可を付与 | Write | |||
| CreateLocalGatewayRouteTableVpcAssociation | VPC をローカルゲートウェイのルートテーブルに関連付けるアクセス許可を付与します | Write |
ec2:CreateTags |
||
| CreateManagedPrefixList | 管理対象プレフィックスリストを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateNatGateway | サブネットに NAT ゲートウェイを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateNetworkAcl | VPC でネットワーク ACL を作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateNetworkAclEntry | ネットワーク ACL で番号付きエントリ (ルール) を作成する許可を付与 | Write | |||
| CreateNetworkInsightsPath | 到達可能性を分析するパスを作成する権限を付与します | Write |
ec2:CreateTags |
||
| CreateNetworkInterface | サブネット内にネットワークインターフェイスを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateNetworkInterfacePermission | AWS 承認されたユーザーがネットワークインターフェイスで特定の操作を実行するためのアクセス許可を作成する許可を付与 | Permissions management | |||
| CreatePlacementGroup | プレイスメントグループを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateReplaceRootVolumeTask | ルートボリューム置換タスクを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateReservedInstancesListing | リザーブドインスタンスマーケットプレイスで販売されるスタンダードリザーブドインスタンスの出品を作成する許可を付与 | Write | |||
| CreateRestoreImageTask | CreateStoreImageTask を使用して作成した S3 オブジェクトから AMI を復元するタスクを開始する許可を付与 | Write |
ec2:CreateTags |
||
| CreateRoute | VPC ルートテーブルにルートを作成する許可を付与 | Write | |||
| CreateRouteTable | VPC のルートテーブルを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateSecurityGroup | セキュリティグループを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateSnapshot | EBS ボリュームのスナップショットを作成し、Amazon S3 に保存する許可を付与 | Write |
ec2:CreateTags |
||
| CreateSnapshots | 複数の EBS ボリュームのクラッシュ整合性のあるスナップショットを作成し、Amazon S3 に保存する許可を付与 | Write |
ec2:CreateTags |
||
| CreateSpotDatafeedSubscription | スポットインスタンスのデータフィードを作成して、スポットインスタンスの使用状況ログを表示する許可を付与 | Write | |||
| CreateStoreImageTask | AMI を S3 バケットに単一のオブジェクトとして格納する許可を付与 | Write | |||
| CreateSubnet | VPC でサブネットを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateSubnetCidrReservation | サブネット CIDR の予約を作成する許可を付与 | Write | |||
| CreateTags | Amazon EC2 リソースの 1 つ以上のタグを追加または上書きする許可を付与 | タグ付け | |||
|
local-gateway-route-table-virtual-interface-group-association |
|||||
|
ec2:Phase1EncryptionAlgorithms |
|||||
| CreateTrafficMirrorFilter | トラフィックミラーフィルタを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateTrafficMirrorFilterRule | トラフィックミラーフィルタルールを作成する許可を付与 | Write | |||
| CreateTrafficMirrorSession | トラフィックミラーセッションを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateTrafficMirrorTarget | トラフィックミラーターゲットを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateTransitGateway | トランジットゲートウェイを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayConnect | 指定されたトランジットゲートウェイ添付ファイルから Connect アタッチメントファイルを作成する権限を付与します | Write |
ec2:CreateTags |
||
| CreateTransitGatewayConnectPeer | トランジットゲートウェイとアプライアンスの間に Connect ピアを作成する権限を付与します。 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayMulticastDomain | トランジットゲートウェイのマルチキャストドメインを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayPeeringAttachment | リクエスタとアクセプタトランジットゲートウェイ間のトランジットゲートウェイピアリングアタッチメントを要求する許可を付与 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayPrefixListReference | トランジットゲートウェイのプレフィックスリスト参照を作成する許可を付与 | Write | |||
| CreateTransitGatewayRoute | トランジットゲートウェイのルートテーブルの静的ルートを作成する許可を付与 | Write | |||
| CreateTransitGatewayRouteTable | トランジットゲートウェイのルートテーブルを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayVpcAttachment | VPC をトランジットゲートウェイにアタッチする許可を付与 | Write |
ec2:CreateTags |
||
| CreateVolume | EBS ボリュームを作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateVpc | 指定された CIDR ブロックで VPC を作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateVpcEndpoint | AWS サービスの VPC エンドポイントを作成する許可を付与 | Write |
ec2:CreateTags route53:AssociateVPCWithHostedZone |
||
| CreateVpcEndpointConnectionNotification | VPC エンドポイントまたは VPC エンドポイントサービスの接続通知を作成する許可を付与 | Write | |||
| CreateVpcEndpointServiceConfiguration | サービスコンシューマー (AWS アカウント、IAM ユーザー、IAM ロール) が接続できる VPC エンドポイントサービス設定を作成する許可を付与 | Write |
ec2:CreateTags |
||
| CreateVpcPeeringConnection | 2 つの VPC 間の VPC ピア接続をリクエストする許可を付与 | Write |
ec2:CreateTags |
||
| CreateVpnConnection | 仮想プライベートゲートウェイまたはトランジットゲートウェイとカスタマーゲートウェイの間に VPN 接続を作成する許可を付与 | Write |
ec2:CreateTags |
||
|
ec2:Phase1EncryptionAlgorithms |
|||||
| CreateVpnConnectionRoute | 仮想プライベートゲートウェイとカスタマーゲートウェイ間の VPN 接続の静的ルートを作成する許可を付与 | Write | |||
| CreateVpnGateway | 仮想プライベートゲートウェイを作成する許可を付与 | Write |
ec2:CreateTags |
||
| DeleteCarrierGateway | キャリアゲートウェイを削除する許可を付与 | Write | |||
| DeleteClientVpnEndpoint | クライアント VPN エンドポイントを削除する許可を付与 | Write | |||
| DeleteClientVpnRoute | クライアント VPN エンドポイントからルートを削除する許可を付与 | Write | |||
| DeleteCustomerGateway | カスタマーゲートウェイを削除する許可を付与 | Write | |||
| DeleteDhcpOptions | DHCP オプションのセットを削除する許可を付与 | Write | |||
| DeleteEgressOnlyInternetGateway | 出力のみのインターネットゲートウェイを削除する許可を付与 | Write | |||
| DeleteFleets | 1 つ以上の EC2 フリートを削除する許可を付与 | Write | |||
| DeleteFlowLogs | 1 つ以上のフローログを削除する許可を付与 | Write | |||
| DeleteFpgaImage | Amazon FPGA イメージ (AFI) を削除する許可を付与 | Write | |||
| DeleteInstanceEventWindow | 指定されたイベントウィンドウを削除するためのアクセス許可を付与する | Write | |||
| DeleteInternetGateway | インターネットゲートウェイを削除する許可を付与 | Write | |||
| DeleteKeyPair | Amazon EC2 からパブリックキーを削除して、キーペアを削除する許可を付与 | Write | |||
| DeleteLaunchTemplate | 起動テンプレートとその関連バージョンを削除する許可を付与 | Write | |||
| DeleteLaunchTemplateVersions | 起動テンプレートの 1 つ以上のバージョンを削除する許可を付与 | Write | |||
| DeleteLocalGatewayRoute | ローカルゲートウェイのルートテーブルからルートを削除する許可を付与 | Write | |||
| DeleteLocalGatewayRouteTableVpcAssociation | VPC とローカルゲートウェイのルートテーブル間の関連付けを削除する許可を付与 | Write | |||
| DeleteManagedPrefixList | 管理対象プレフィックスリストを削除する許可を付与 | Write | |||
| DeleteNatGateway | NAT ゲートウェイを削除する許可を付与 | Write | |||
| DeleteNetworkAcl | ネットワーク ACL を削除する許可を付与 | Write | |||
| DeleteNetworkAclEntry | ネットワーク ACL からインバウンドまたはアウトバウンドのエントリ (ルール) を削除する許可を付与 | Write | |||
| DeleteNetworkInsightsAnalysis | ネットワークインサイト解析を削除する権限を付与します | Write | |||
| DeleteNetworkInsightsPath | ネットワークインサイトパスを削除する権限を付与します | Write | |||
| DeleteNetworkInterface | 切り離されたネットワークインターフェイスを削除する許可を付与 | Write | |||
| DeleteNetworkInterfacePermission | ネットワークインターフェイスに関連付けられているアクセス許可を削除する許可を付与 | Permissions management | |||
| DeletePlacementGroup | プレイスメントグループを削除する許可を付与 | Write | |||
| DeleteQueuedReservedInstances | 指定されたリザーブドインスタンスのキューに入った購入を削除する権限を付与します | Write | |||
| DeleteRoute | ルートテーブルからルートを削除する許可を付与 | Write | |||
| DeleteRouteTable | ルートテーブルを削除する許可を付与 | Write | |||
| DeleteSecurityGroup | セキュリティグループを削除する許可を付与 | Write | |||
| DeleteSnapshot | EBS ボリュームのスナップショットを削除する許可を付与 | Write | |||
| DeleteSpotDatafeedSubscription | スポットインスタンスのデータフィードを削除する許可を付与 | Write | |||
| DeleteSubnet | サブネットを削除する許可を付与 | Write | |||
| DeleteSubnetCidrReservation | サブネット CIDR の予約を削除する許可を付与 | Write | |||
| DeleteTags | Amazon EC2 リソースから 1 つ以上のタグを削除する許可を付与 | タグ付け | |||