Amazon Elastic Container Service のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Elastic Container Service のアクション、リソース、および条件キー

Amazon Elastic Container Service (サービスプレフィックス: ecs) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Elastic Container Service で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CreateCapacityProvider 新しいキャパシティープロバイダーを作成します。キャパシティープロバイダーは Amazon ECS クラスターに関連付けられ、クラスターの自動スケーリングを容易にするキャパシティープロバイダー戦略で使用されます。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster 新しい Amazon ECS クラスターを作成します。 書き込み

ecs:capacity-provider

aws:RequestTag/${TagKey}

aws:TagKeys

CreateService 指定されたタスク定義から必要な数のタスクを実行して維持します。 書き込み

service*

ecs:cluster

ecs:capacity-provider

ecs:task-definition

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTaskSet 新しい Amazon ECS タスクセットを作成します。 書き込み

ecs:cluster

ecs:service

ecs:task-definition

DeleteAccountSetting 指定された IAM ユーザー、IAM ロール、またはアカウントのルートユーザーの ARN およびリソース ID 形式を変更します。作成される新しいリソースに対して新しい ARN およびリソース ID 形式を無効にするかどうかを指定できます。 書き込み
DeleteAttributes Amazon ECS リソースから 1 つ以上のカスタム属性を削除します。 書き込み

container-instance*

ecs:cluster

DeleteCapacityProvider 指定されたキャパシティープロバイダーを削除します。 書き込み

capacity-provider*

DeleteCluster 指定したクラスターを削除します。 書き込み

cluster*

DeleteService クラスター内の指定されたサービスを削除します。 書き込み

service*

ecs:cluster

DeleteTaskSet 指定されたタスクセットを削除します。 書き込み

task-set*

ecs:cluster

ecs:service

DeregisterContainerInstance 指定されたクラスターから、Amazon ECS コンテナインスタンスの登録を解除します。 書き込み

cluster*

DeregisterTaskDefinition 指定されたタスク定義をファミリーとリビジョンで登録解除します。 書き込み
DescribeCapacityProviders 1 つ以上の Amazon ECS キャパシティープロバイダーについて説明します。 Read

capacity-provider*

DescribeClusters 1 つまたは複数のクラスターの説明を表示します。 Read

cluster*

DescribeContainerInstances Amazon ECS コンテナインスタンスの説明を表示します。 Read

container-instance*

ecs:cluster

DescribeServices クラスターで実行中の指定されたサービスについての説明を表示します。 Read

service*

ecs:cluster

DescribeTaskDefinition タスク定義の説明を表示します。ファミリーとリビジョンを指定して、特定のタスク定義に関する情報を検索するか、ファミリーのみを指定して、そのファミリーの最新の ACTIVE リビジョンを検索できます。 Read
DescribeTaskSets Amazon ECS タスクセットの説明を表示します。 Read

task-set*

ecs:cluster

ecs:service

DescribeTasks 指定されたタスクの説明を表示します。 Read

task*

ecs:cluster

DiscoverPollEndpoint Amazon ECS エージェントが更新をポーリングするエンドポイントを返します。 書き込み
ListAccountSettings 指定されたプリンシパルに対する Amazon ECS リソースのアカウント設定を一覧表示します。 リスト
ListAttributes 指定されたターゲットタイプおよびクラスター内の Amazon ECS リソースを一覧表示します。 リスト

cluster*

ListClusters 既存のクラスターのリストを返します。 リスト
ListContainerInstances 指定されたクラスター内のコンテナインスタンスのリストを返します。 リスト

cluster*

ListServices 指定されたクラスターで実行されているサービスを一覧表示します。 リスト

ecs:cluster

ListTagsForResource 指定したリソースのタグを一覧表示します。 リスト

cluster

container-instance

task

task-definition

ListTaskDefinitionFamilies アカウントに登録されているタスク定義ファミリーのリストを返します (ACTIVE なタスク定義を含まないタスク定義ファミリーが含まれる場合がある)。 リスト
ListTaskDefinitions アカウントに登録されているタスク定義のリストを返します。 リスト
ListTasks 指定されたクラスターのタスクのリストを返します。 リスト

container-instance*

ecs:cluster

Poll [アクセス許可のみ] ステータスを報告し、コマンドを取得するために、Amazon ECS サービスに接続するアクセス許可をエージェントに付与します。 書き込み

container-instance*

ecs:cluster

PutAccountSetting 指定された IAM ユーザー、IAM ロール、またはアカウントのルートユーザーの ARN およびリソース ID 形式を変更します。作成される新しいリソースに対して新しい ARN およびリソース ID 形式を有効にするかどうかを指定できます。この設定の有効化は、リソースのタグ付けなどの新しい Amazon ECS 機能を使用するために必要です。 書き込み
PutAccountSettingDefault 個別のアカウント設定が行われていないアカウントのすべての IAM ユーザーに対してリソースタイプの ARN およびリソース ID 形式を変更します。この設定の有効化は、リソースのタグ付けなどの新しい Amazon ECS 機能を使用するために必要です。 書き込み
PutAttributes Amazon ECS リソースの属性を作成または更新します。 書き込み

container-instance*

ecs:cluster

PutClusterCapacityProviders 使用可能なキャパシティープロバイダーと、クラスターのデフォルトのキャパシティープロバイダー戦略を変更します。 書き込み

capacity-provider*

ecs:capacity-provider

RegisterContainerInstance 指定されたクラスターに EC2 インスタンスを登録します。 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterTaskDefinition 指定されたファミリーおよび containerDefinitions から新しいタスク定義を登録します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

RunTask ランダムな配置とデフォルトの Amazon ECS スケジューラを使用してタスクを開始します。 書き込み

task-definition*

ecs:cluster

ecs:capacity-provider

aws:RequestTag/${TagKey}

aws:TagKeys

StartTask 指定されたコンテナインスタンスまたはインスタンスの指定されたタスク定義から新しいタスクを開始します。 書き込み

task-definition*

ecs:cluster

ecs:container-instances

aws:RequestTag/${TagKey}

aws:TagKeys

StartTelemetrySession テレメトリセッションを開始するアクセス許可を付与します。 書き込み

container-instance*

ecs:cluster

StopTask 実行中のタスクを停止します。 書き込み

task*

ecs:cluster

SubmitAttachmentStateChanges 添付ファイルの状態が変わったことを確認するために送信されます。 書き込み

cluster*

SubmitContainerStateChange コンテナの状態が変更されたことを確認するために送信されます。 書き込み

cluster*

SubmitTaskStateChange タスクの状態が変更されたことを確認するために送信されます。 書き込み

cluster*

TagResource 指定されたリソースをタグ付けします。 タグ付け

cluster

container-instance

service

task

task-definition

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 指定されたリソースのタグを解除します。 タグ付け

cluster

container-instance

service

task

task-definition

aws:TagKeys

UpdateClusterSettings クラスターに使用する設定を変更します。 書き込み

cluster*

UpdateContainerAgent 指定されたコンテナインスタンス上の Amazon ECS コンテナエージェントを更新します。 書き込み

container-instance*

ecs:cluster

UpdateContainerInstancesState ユーザーが Amazon ECS コンテナインスタンスのステータスを変更できるようにします。 書き込み

container-instance*

ecs:cluster

UpdateService サービスのパラメータを変更します。 書き込み

service*

ecs:cluster

ecs:capacity-provider

ecs:task-definition

UpdateServicePrimaryTaskSet サービスで使用されるプライマリタスクセットを変更します。 書き込み

service*

ecs:cluster

UpdateTaskSet 指定されたタスクセットを更新します。 書き込み

task-set*

ecs:cluster

ecs:service

Amazon Elastic Container Service で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

container-instance arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ContainerInstanceId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

service arn:${Partition}:ecs:${Region}:${Account}:service/${ServiceName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-definition arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

capacity-provider arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-set arn:${Partition}:ecs:${region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

Amazon Elastic Container Service の条件キー

Amazon EC2 Container Service は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします。 文字列
ecs:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします。 文字列
ecs:capacity-provider Amazon ECS キャパシティープロバイダーの ARN。 ARN
ecs:cluster Amazon ECS クラスターの ARN。 ARN
ecs:container-instances Amazon ECS コンテナインスタンスの ARN。 ARN
ecs:service Amazon ECS サービスの ARN。 ARN
ecs:task-definition Amazon ECS タスク定義の ARN。 ARN