翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Elastic Container Service のアクション、リソース、および条件キー
Amazon Elastic Container Service (サービスプレフィックス: ecs
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用できる API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法について説明します。
トピック
Amazon Elastic Container Service で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
CreateCapacityProvider | 新しいキャパシティプロバイダーを作成するためのアクセス許可を付与 キャパシティープロバイダーは Amazon ECS クラスターに関連付けられ、クラスターの自動スケーリングを容易にするためにキャパシティープロバイダー戦略で使用されます。 | 書き込み | |||
CreateCluster | 新しい Amazon ECS クラスターを作成するアクセス許可を付与します | 書き込み | |||
CreateService | サービスの作成を通じて、指定されたタスク定義から必要な数のタスクを実行および管理するためのアクセス許可を付与 | 書き込み | |||
CreateTaskSet | 新しい Amazon ECS タスクセットを作成するアクセス許可を付与します | 書き込み | |||
DeleteAccountSetting | アカウントの指定された ARN ユーザー、Word IAMロール、またはルートユーザーのリソースの IAM およびリソース ID 形式を変更するアクセス許可を付与します。作成された新しいリソースに対して、新しい ARN とリソース ID の形式を無効にするかどうかを指定できます。 | 書き込み | |||
DeleteAttributes | Amazon ECS リソースから 1 つ以上のカスタム属性を削除するアクセス許可を付与します | 書き込み | |||
DeleteCapacityProvider | 指定されたキャパシティプロバイダーを削除するためのアクセス許可を付与 | Write | |||
DeleteCluster | 指定されたクラスターを削除するためのアクセス許可を付与 | Write | |||
DeleteService | クラスター内の指定されたサービスを削除するためのアクセス許可を付与 | 書き込み | |||
DeleteTaskDefinitions | ファミリーおよびリビジョンによって指定されたタスク定義を削除するための許可を付与します | 書き込み | |||
DeleteTaskSet | 指定したタスクセットを削除するためのアクセス許可を付与 | 書き込み | |||
DeregisterContainerInstance | 指定されたクラスターから Amazon ECS コンテナインスタンスを登録解除するアクセス許可を付与します | 書き込み | |||
DeregisterTaskDefinition | ファミリーおよびリビジョンによって指定されたタスク定義を登録解除するためのアクセス許可を付与 | 書き込み | |||
DescribeCapacityProviders | 1 つ以上の Amazon ECS キャパシティープロバイダーを記述するアクセス許可を付与します | 読み取り | |||
DescribeClusters | 1 つ以上のクラスターを記述するためのアクセス許可を付与 | 読み取り | |||
DescribeContainerInstances | Amazon ECS コンテナインスタンスを記述する許可を付与 | 読み取り | |||
DescribeServiceDeployments | 1 つ以上のサービスデプロイを記述するアクセス許可を付与します | 読み取り | |||
DescribeServiceRevisions | 1 つ以上のサービスリビジョンを記述するアクセス許可を付与します | 読み取り | |||
DescribeServices | クラスターで実行されている指定されたサービスを記述するためのアクセス許可を付与 | Read | |||
DescribeTaskDefinition | タスク定義を記述するためのアクセス許可を付与 ファミリーとリビジョンを指定して特定のタスク定義に関する情報を検索することも、ファミリーを指定するだけでそのファミリー内の最新の ACTIVE リビジョンを検索することもできます。 | 読み取り | |||
DescribeTaskSets | Amazon ECS タスクセットを記述する許可を付与 | 読み取り | |||
DescribeTasks | 指定した 1 つまたは複数のタスクを記述するためのアクセス許可を付与 | 読み取り | |||
DiscoverPollEndpoint | Amazon ECS エージェントが更新をポーリングするためのエンドポイントを取得するアクセス許可を付与します | 書き込み | |||
ExecuteCommand | Amazon ECS コンテナでリモートでコマンドを実行するアクセス許可を付与します | 書き込み | |||
GetTaskProtection | Amazon ECS サービス内のタスクの保護ステータスを取得するアクセス許可を付与します | 読み取り | |||
ListAccountSettings | 指定されたプリンシパルの Amazon ECS リソースのアカウント設定を一覧表示するアクセス許可を付与します | 読み取り | |||
ListAttributes | 指定されたターゲットタイプとクラスター内の Amazon ECS リソースの属性を一覧表示するアクセス許可を付与します | リスト | |||
ListClusters | 既存のクラスターのリストを取得するためのアクセス許可を付与 | リスト | |||
ListContainerInstances | 指定されたクラスター内のコンテナインスタンスのリストを取得するためのアクセス許可を付与 | リスト | |||
ListServiceDeployments | 指定されたサービスのサービスデプロイのリストを取得するアクセス許可を付与します | リスト | |||
ListServices | 指定されたクラスターで実行されているサービスのリストを取得するためのアクセス許可を付与 | リスト | |||
ListServicesByNamespace | 指定された AWS クラウド マップ名前空間で実行されているサービスのリストを取得する許可を付与 | リスト | |||
ListTagsForResource | 指定されたリソースのタグのリストを取得するためのアクセス許可を付与 | 読み取り | |||
ListTaskDefinitionFamilies | アカウントに登録されているタスク定義ファミリーのリストを取得するアクセス許可を付与します (ACTIVE タスク定義がなくなったタスク定義ファミリーが含まれる場合があります)。 | リスト | |||
ListTaskDefinitions | アカウントに登録されているタスク定義のリストを取得するためのアクセス許可を付与 | リスト | |||
ListTasks | 指定したクラスターのタスクの一覧を取得するためのアクセス許可を付与 | リスト | |||
Poll[アクセス許可のみ] | Amazon ECS サービスに接続してステータスをレポートし、コマンドを取得するアクセス許可をエージェントに付与します | 書き込み | |||
PutAccountSetting | アカウントの指定された ARN ユーザー、Word IAMロール、またはルートユーザーのリソースの IAM およびリソース ID 形式を変更するアクセス許可を付与します。作成された新しいリソースに対して新しい ARN とリソース ID 形式を有効にするかどうかを指定できます。リソースのタグ付けなどの新しい Amazon ECS 機能を使用するには、この設定を有効にする必要があります | 書き込み | |||
PutAccountSettingDefault | 個々のアカウント設定が設定されていないアカウントのすべての ARN ユーザーのリソースタイプの IAM およびリソース ID 形式を変更するアクセス許可を付与します。リソースのタグ付けなどの新しい Amazon ECS 機能を使用するには、この設定を有効にする必要があります | 書き込み | |||
PutAttributes | Amazon ECS リソースで属性を作成または更新するアクセス許可を付与します | 書き込み | |||
PutClusterCapacityProviders | クラスターの使用可能なキャパシティープロバイダーおよびデフォルトのキャパシティープロバイダー戦略を変更するためのアクセス許可を付与 | 書き込み | |||
RegisterContainerInstance | EC2 インスタンスを指定されたクラスターに登録するアクセス許可を付与します | 書き込み | |||
RegisterTaskDefinition | 指定されたファミリーと containerDefinitions から新しいタスク定義を登録する許可を付与 | 書き込み | |||
RunTask | ランダム配置とデフォルトの Amazon ECS スケジューラを使用してタスクを開始するアクセス許可を付与します | 書き込み |
iam:PassRole |
||
StartTask | 指定された 1 つまたは複数のコンテナインスタンスで、指定されたタスク定義から新しいタスクを開始するためのアクセス許可を付与 | Write |
iam:PassRole |
||
StartTelemetrySession | テレメトリセッションを開始するためのアクセス許可を付与 | Write | |||
StopTask | 実行中のタスクを停止するためのアクセス許可を付与 | Write | |||
SubmitAttachmentStateChanges | アタッチメントの状態が変更された旨の確認を送信するためのアクセス許可を付与 | Write | |||
SubmitContainerStateChange | コンテナの状態が変更された旨の確認を送信するためのアクセス許可を付与 | Write | |||
SubmitTaskStateChange | タスクの状態が変更された旨の確認を送信するためのアクセス許可を付与 | Write | |||
TagResource | 指定されたリソースにタグを付けるアクセス許可を付与 | タグ付け | |||
UntagResource | 指定されたリソースのタグを解除するアクセス許可を付与 | タグ付け | |||
UpdateCapacityProvider | 指定されたキャパシティープロバイダーを更新するためのアクセス許可を付与 | Write | |||
UpdateCluster | クラスターで使用する構成または設定を変更するためのアクセス許可を付与 | Write | |||
UpdateClusterSettings | クラスターで使用する設定を変更するためのアクセス許可を付与 | 書き込み | |||
UpdateContainerAgent | 指定されたコンテナインスタンスで Amazon ECS コンテナエージェントを更新するアクセス許可を付与します | 書き込み | |||
UpdateContainerInstancesState | Amazon ECS コンテナインスタンスのステータスを変更するアクセス許可をユーザーに付与します | 書き込み | |||
UpdateService | サービスのパラメータを変更するためのアクセス許可を付与 | Write | |||
UpdateServicePrimaryTaskSet | サービスで使用されるプライマリタスクセットを変更するためのアクセス許可を付与 | 書き込み | |||
UpdateTaskProtection | タスクの保護ステータスを変更するための許可を付与します | 書き込み | |||
UpdateTaskSet | 指定されたタスクセットを更新するためのアクセス許可を付与 | Write | |||
Amazon Elastic Container Service で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
cluster |
arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}
|
|
container-instance |
arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}
|
|
service |
arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}
|
|
service-deployment |
arn:${Partition}:ecs:${Region}:${Account}:service-deployment/${ClusterName}/${ServiceName}/${ServiceDeploymentId}
|
|
service-revision |
arn:${Partition}:ecs:${Region}:${Account}:service-revision/${ClusterName}/${ServiceName}/${ServiceRevisionId}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}
|
|
task-definition |
arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}
|
|
capacity-provider |
arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}
|
|
task-set |
arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}
|
Amazon Elastic Container Service の条件キー
Amazon Elastic Container Service では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | タイプ |
---|---|---|
aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
ecs:CreateAction | リソース作成 API アクションの名前でアクセスをフィルタリングします | 文字列 |
ecs:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします | 文字列 |
ecs:account-setting | Amazon ECS アカウント設定名でアクセスをフィルタリングします | 文字列 |
ecs:capacity-provider | Amazon ARN キャパシティープロバイダーの ECS でアクセスをフィルタリングします | ARN |
ecs:cluster | Amazon ARN クラスターの ECS でアクセスをフィルタリングします | ARN |
ecs:container-instances | Amazon ARN コンテナインスタンスの ECS でアクセスをフィルタリングします | ARN |
ecs:container-name | ECS タスク定義で定義されている Amazon ECS コンテナの名前でアクセスをフィルタリングします | 文字列 |
ecs:enable-ebs-volumes | ECS ECSタスクまたはサービスの Amazon Word マネージド Amazon EBS ボリューム機能でアクセスをフィルタリングします | 文字列 |
ecs:enable-execute-command | Amazon ECS タスクまたは Amazon ECS サービスの execute-command 機能でアクセスをフィルタリングします | 文字列 |
ecs:enable-service-connect | Service Connect 設定の有効フィールド値によりアクセスをフィルタリング | 文字列 |
ecs:enable-vpc-lattice | Amazon VPC サービスの ECS 格子機能でアクセスをフィルタリングします | 文字列 |
ecs:fargate-ephemeral-storage-kms-key | リクエストで指定された AWS KMS キー ID でアクセスをフィルタリングします | 文字列 |
ecs:namespace | Service Connect 設定で定義されている AWS クラウド マップ名前空間のARNでアクセスをフィルタリングします | ARN |
ecs:service | Amazon ARN サービスの ECS でアクセスをフィルタリングします | ARN |
ecs:task | Amazon ARN ECSタスクの単語でアクセスをフィルタリングします | ARN |
ecs:task-definition | Amazon ARN タスク定義の ECS でアクセスをフィルタリングします | ARN |