翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Elastic Container Service のアクション、リソース、および条件キー
Amazon Elastic Container Service (サービスプレフィックス: ecs) では、IAMアクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
API このサービスで使用できるオペレーションのリストを表示します。
-
アクセス許可ポリシーを使用してIAM、このサービスとそのリソースを保護する方法について説明します。
トピック
Amazon Elastic Container Service で定義されるアクション
IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前のAPIオペレーションまたはCLIコマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ARNそのアクションを使用して ステートメントでそのタイプの を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシー内の Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARNまたは パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| CreateCapacityProvider | 新しいキャパシティプロバイダーを作成するためのアクセス許可を付与 キャパシティープロバイダーは Amazon ECSクラスターに関連付けられ、クラスターの自動スケーリングを容易にするためにキャパシティープロバイダー戦略で使用されます。 | 書き込み | |||
| CreateCluster | 新しい Amazon ECSクラスターを作成するアクセス許可を付与します | 書き込み | |||
| CreateService | サービスの作成を通じて、指定されたタスク定義から必要な数のタスクを実行および管理するためのアクセス許可を付与 | 書き込み | |||
| CreateTaskSet | 新しい Amazon ECSタスクセットを作成するアクセス許可を付与します | 書き込み | |||
| DeleteAccountSetting | 指定されたIAMユーザー、IAMロール、またはアカウントのルートユーザーのリソースの ARNおよび リソース ID 形式を変更するアクセス許可を付与します。作成された新しいリソースに対して、新しい ARNおよび リソース ID 形式を無効にするかどうかを指定できます。 | 書き込み | |||
| DeleteAttributes | Amazon ECSリソースから 1 つ以上のカスタム属性を削除するアクセス許可を付与します | 書き込み | |||
| DeleteCapacityProvider | 指定されたキャパシティプロバイダーを削除するためのアクセス許可を付与 | Write | |||
| DeleteCluster | 指定されたクラスターを削除するためのアクセス許可を付与 | Write | |||
| DeleteService | クラスター内の指定されたサービスを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteTaskDefinitions | ファミリーおよびリビジョンによって指定されたタスク定義を削除するための許可を付与します | 書き込み | |||
| DeleteTaskSet | 指定したタスクセットを削除するためのアクセス許可を付与 | 書き込み | |||
| DeregisterContainerInstance | 指定されたクラスターから Amazon ECSコンテナインスタンスの登録を解除するアクセス許可を付与 | 書き込み | |||
| DeregisterTaskDefinition | ファミリーおよびリビジョンによって指定されたタスク定義を登録解除するためのアクセス許可を付与 | 書き込み | |||
| DescribeCapacityProviders | 1 つ以上の Amazon ECSキャパシティープロバイダーを記述するアクセス許可を付与 | 読み取り | |||
| DescribeClusters | 1 つ以上のクラスターを記述するためのアクセス許可を付与 | 読み取り | |||
| DescribeContainerInstances | Amazon ECSコンテナインスタンスを記述するアクセス許可を付与 | 読み取り | |||
| DescribeServices | クラスターで実行されている指定されたサービスを記述するためのアクセス許可を付与 | Read | |||
| DescribeTaskDefinition | タスク定義を記述するためのアクセス許可を付与 ファミリーとリビジョンを指定して特定のタスク定義に関する情報を検索するか、ファミリーを指定してそのファミリーの最新ACTIVEリビジョンを検索できます。 | 読み取り | |||
| DescribeTaskSets | Amazon ECSタスクセットを記述するアクセス許可を付与 | 読み取り | |||
| DescribeTasks | 指定した 1 つまたは複数のタスクを記述するためのアクセス許可を付与 | 読み取り | |||
| DiscoverPollEndpoint | Amazon ECSエージェントが更新をポーリングするためのエンドポイントを取得するアクセス許可を付与します | 書き込み | |||
| ExecuteCommand | Amazon ECSコンテナでリモートでコマンドを実行するアクセス許可を付与 | 書き込み | |||
| GetTaskProtection | Amazon ECSサービス内のタスクの保護ステータスを取得するアクセス許可を付与 | 読み取り | |||
| ListAccountSettings | 指定されたプリンシパルの Amazon ECSリソースのアカウント設定を一覧表示するアクセス許可を付与 | 読み取り | |||
| ListAttributes | 指定されたターゲットタイプとクラスター内の Amazon ECSリソースの属性を一覧表示するアクセス許可を付与 | リスト | |||
| ListClusters | 既存のクラスターのリストを取得するためのアクセス許可を付与 | リスト | |||
| ListContainerInstances | 指定されたクラスター内のコンテナインスタンスのリストを取得するためのアクセス許可を付与 | リスト | |||
| ListServices | 指定されたクラスターで実行されているサービスのリストを取得するためのアクセス許可を付与 | リスト | |||
| ListServicesByNamespace | 指定された AWS クラウド マップ名前空間で実行されているサービスのリストを取得するアクセス許可を付与します | リスト | |||
| ListTagsForResource | 指定されたリソースのタグのリストを取得するためのアクセス許可を付与 | 読み取り | |||
| ListTaskDefinitionFamilies | アカウントに登録されているタスク定義ファミリーのリストを取得するアクセス許可を付与します (タスク定義ファミリーにはACTIVE、タスク定義がなくなる場合があります)。 | リスト | |||
| ListTaskDefinitions | アカウントに登録されているタスク定義のリストを取得するためのアクセス許可を付与 | リスト | |||
| ListTasks | 指定したクラスターのタスクの一覧を取得するためのアクセス許可を付与 | リスト | |||
| Poll[アクセス許可のみ] | Amazon ECSサービスに接続してステータスを報告し、コマンドを取得するアクセス許可をエージェントに付与します | 書き込み | |||
| PutAccountSetting | 指定されたIAMユーザー、IAMロール、またはアカウントのルートユーザーのリソースの ARNおよび リソース ID 形式を変更するアクセス許可を付与します。作成された新しいリソースに対して、新しい ARNおよび リソース ID 形式を有効にするかどうかを指定できます。リソースタグ付けなどの新しい Amazon ECS機能を使用するには、この設定を有効にする必要があります | 書き込み | |||
| PutAccountSettingDefault | 個々のアカウント設定が設定されていないアカウントのすべてのIAMユーザーのリソースタイプの ARNおよび リソース ID 形式を変更するアクセス許可を付与します。リソースタグ付けなどの新しい Amazon ECS機能を使用するには、この設定を有効にする必要があります | 書き込み | |||
| PutAttributes | Amazon ECSリソースの属性を作成または更新するアクセス許可を付与します | 書き込み | |||
| PutClusterCapacityProviders | クラスターの使用可能なキャパシティープロバイダーおよびデフォルトのキャパシティープロバイダー戦略を変更するためのアクセス許可を付与 | 書き込み | |||
| RegisterContainerInstance | 指定されたクラスターにEC2インスタンスを登録するアクセス許可を付与します | 書き込み | |||
| RegisterTaskDefinition | 指定されたファミリーから新しいタスク定義を登録するアクセス許可を付与し、 containerDefinitions | 書き込み | |||
| RunTask | ランダム配置とデフォルトの Amazon スECSケジューラを使用してタスクを開始するアクセス許可を付与します | 書き込み |
iam:PassRole |
||
| StartTask | 指定された 1 つまたは複数のコンテナインスタンスで、指定されたタスク定義から新しいタスクを開始するためのアクセス許可を付与 | Write |
iam:PassRole |
||
| StartTelemetrySession | テレメトリセッションを開始するためのアクセス許可を付与 | Write | |||
| StopTask | 実行中のタスクを停止するためのアクセス許可を付与 | Write | |||
| SubmitAttachmentStateChanges | アタッチメントの状態が変更された旨の確認を送信するためのアクセス許可を付与 | Write | |||
| SubmitContainerStateChange | コンテナの状態が変更された旨の確認を送信するためのアクセス許可を付与 | Write | |||
| SubmitTaskStateChange | タスクの状態が変更された旨の確認を送信するためのアクセス許可を付与 | Write | |||
| TagResource | 指定されたリソースにタグを付けるアクセス許可を付与 | タグ付け | |||
| UntagResource | 指定されたリソースのタグを解除するアクセス許可を付与 | タグ付け | |||
| UpdateCapacityProvider | 指定されたキャパシティープロバイダーを更新するためのアクセス許可を付与 | Write | |||
| UpdateCluster | クラスターで使用する構成または設定を変更するためのアクセス許可を付与 | Write | |||
| UpdateClusterSettings | クラスターで使用する設定を変更するためのアクセス許可を付与 | 書き込み | |||
| UpdateContainerAgent | 指定されたECSコンテナインスタンスで Amazon コンテナエージェントを更新するアクセス許可を付与 | 書き込み | |||
| UpdateContainerInstancesState | Amazon ECSコンテナインスタンスのステータスを変更するアクセス許可をユーザーに付与します | 書き込み | |||
| UpdateService | サービスのパラメータを変更するためのアクセス許可を付与 | Write | |||
| UpdateServicePrimaryTaskSet | サービスで使用されるプライマリタスクセットを変更するためのアクセス許可を付与 | 書き込み | |||
| UpdateTaskProtection | タスクの保護ステータスを変更するための許可を付与します | 書き込み | |||
| UpdateTaskSet | 指定されたタスクセットを更新するためのアクセス許可を付与 | Write | |||
Amazon Elastic Container Service で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAMアクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| cluster |
arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}
|
|
| container-instance |
arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}
|
|
| service |
arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}
|
|
| task-definition |
arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}
|
|
| capacity-provider |
arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}
|
|
| task-set |
arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}
|
Amazon Elastic Container Service の条件キー
Amazon Elastic Container Service では、IAMポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
| ecs:CreateAction | リソース作成APIアクションの名前でアクセスをフィルタリングします | 文字列 |
| ecs:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします | 文字列 |
| ecs:account-setting | Amazon ECSアカウント設定名でアクセスをフィルタリングします | 文字列 |
| ecs:capacity-provider | Amazon ECSキャパシティプロバイダーARNの によってアクセスをフィルタリングします | ARN |
| ecs:cluster | Amazon ECSクラスターARNの でアクセスをフィルタリングします | ARN |
| ecs:container-instances | Amazon ECSコンテナインスタンスARNの でアクセスをフィルタリングします | ARN |
| ecs:container-name | ECS タスク定義で定義されている Amazon ECSコンテナの名前でアクセスをフィルタリングします | 文字列 |
| ecs:enable-ebs-volumes | ECS タスクまたはサービスの Amazon ECSマネージド Amazon EBSボリューム機能によってアクセスをフィルタリングします | 文字列 |
| ecs:enable-execute-command | Amazon ECSタスクまたは Amazon ECSサービスの実行コマンド機能によってアクセスをフィルタリングします | 文字列 |
| ecs:enable-service-connect | Service Connect 設定の有効フィールド値によりアクセスをフィルタリング | 文字列 |
| ecs:fargate-ephemeral-storage-kms-key | リクエストで指定されたキー ID で AWS KMSアクセスをフィルタリングします | 文字列 |
| ecs:namespace | Service Connect 設定で定義されている AWS クラウド マップ名前空間ARNの でアクセスをフィルタリングします | ARN |
| ecs:service | Amazon ECSサービスの によってアクセスをフィルタリングARNします | ARN |
| ecs:task | Amazon ECSタスクARNの によってアクセスをフィルタリングします | ARN |
| ecs:task-definition | Amazon ECSタスク定義ARNの でアクセスをフィルタリングします | ARN |
