Amazon Elastic Container Service のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic Container Service のアクション、リソース、および条件キー

Amazon Elastic Container Service (サービスプレフィックス: ecs) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon Elastic Container Service で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CreateCapacityProvider 新しいキャパシティプロバイダーを作成するためのアクセス許可を付与 キャパシティープロバイダーは Amazon ECS クラスターに関連付けられ、クラスターの自動スケーリングを容易にするためにキャパシティープロバイダー戦略で使用されます。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster 新しい Amazon ECS クラスターを作成するアクセス許可を付与します 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:capacity-provider

ecs:fargate-ephemeral-storage-kms-key

CreateService サービスの作成を通じて、指定されたタスク定義から必要な数のタスクを実行および管理するためのアクセス許可を付与 書き込み

service*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:capacity-provider

ecs:task-definition

ecs:enable-ebs-volumes

ecs:enable-execute-command

ecs:enable-service-connect

ecs:namespace

ecs:enable-vpc-lattice

CreateTaskSet 新しい Amazon ECS タスクセットを作成するアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:capacity-provider

ecs:service

ecs:task-definition

DeleteAccountSetting アカウントの指定された ARN ユーザー、Word IAMロール、またはルートユーザーのリソースの IAM およびリソース ID 形式を変更するアクセス許可を付与します。作成された新しいリソースに対して、新しい ARN とリソース ID の形式を無効にするかどうかを指定できます。 書き込み

ecs:account-setting

DeleteAttributes Amazon ECS リソースから 1 つ以上のカスタム属性を削除するアクセス許可を付与します 書き込み

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

DeleteCapacityProvider 指定されたキャパシティプロバイダーを削除するためのアクセス許可を付与 Write

capacity-provider*

aws:ResourceTag/${TagKey}

DeleteCluster 指定されたクラスターを削除するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

DeleteService クラスター内の指定されたサービスを削除するためのアクセス許可を付与 書き込み

service*

aws:ResourceTag/${TagKey}

ecs:cluster

DeleteTaskDefinitions ファミリーおよびリビジョンによって指定されたタスク定義を削除するための許可を付与します 書き込み

task-definition*

aws:ResourceTag/${TagKey}

DeleteTaskSet 指定したタスクセットを削除するためのアクセス許可を付与 書き込み

task-set*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

DeregisterContainerInstance 指定されたクラスターから Amazon ECS コンテナインスタンスを登録解除するアクセス許可を付与します 書き込み

cluster*

aws:ResourceTag/${TagKey}

DeregisterTaskDefinition ファミリーおよびリビジョンによって指定されたタスク定義を登録解除するためのアクセス許可を付与 書き込み
DescribeCapacityProviders 1 つ以上の Amazon ECS キャパシティープロバイダーを記述するアクセス許可を付与します 読み取り

capacity-provider*

aws:ResourceTag/${TagKey}

DescribeClusters 1 つ以上のクラスターを記述するためのアクセス許可を付与 読み取り

cluster*

aws:ResourceTag/${TagKey}

DescribeContainerInstances Amazon ECS コンテナインスタンスを記述する許可を付与 読み取り

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

DescribeServiceDeployments 1 つ以上のサービスデプロイを記述するアクセス許可を付与します 読み取り

service*

ecs:cluster

aws:ResourceTag/${TagKey}

service-deployment*

ecs:cluster

ecs:service

aws:ResourceTag/${TagKey}

DescribeServiceRevisions 1 つ以上のサービスリビジョンを記述するアクセス許可を付与します 読み取り

service*

ecs:cluster

aws:ResourceTag/${TagKey}

service-revision*

ecs:cluster

ecs:service

aws:ResourceTag/${TagKey}

DescribeServices クラスターで実行されている指定されたサービスを記述するためのアクセス許可を付与 Read

service*

aws:ResourceTag/${TagKey}

ecs:cluster

DescribeTaskDefinition タスク定義を記述するためのアクセス許可を付与 ファミリーとリビジョンを指定して特定のタスク定義に関する情報を検索することも、ファミリーを指定するだけでそのファミリー内の最新の ACTIVE リビジョンを検索することもできます。 読み取り
DescribeTaskSets Amazon ECS タスクセットを記述する許可を付与 読み取り

task-set*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

DescribeTasks 指定した 1 つまたは複数のタスクを記述するためのアクセス許可を付与 読み取り

task*

aws:ResourceTag/${TagKey}

ecs:cluster

DiscoverPollEndpoint Amazon ECS エージェントが更新をポーリングするためのエンドポイントを取得するアクセス許可を付与します 書き込み
ExecuteCommand Amazon ECS コンテナでリモートでコマンドを実行するアクセス許可を付与します 書き込み

cluster*

task*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:container-name

ecs:task

GetTaskProtection Amazon ECS サービス内のタスクの保護ステータスを取得するアクセス許可を付与します 読み取り

task*

aws:ResourceTag/${TagKey}

ecs:cluster

ListAccountSettings 指定されたプリンシパルの Amazon ECS リソースのアカウント設定を一覧表示するアクセス許可を付与します 読み取り
ListAttributes 指定されたターゲットタイプとクラスター内の Amazon ECS リソースの属性を一覧表示するアクセス許可を付与します リスト

cluster*

aws:ResourceTag/${TagKey}

ListClusters 既存のクラスターのリストを取得するためのアクセス許可を付与 リスト
ListContainerInstances 指定されたクラスター内のコンテナインスタンスのリストを取得するためのアクセス許可を付与 リスト

cluster*

aws:ResourceTag/${TagKey}

ListServiceDeployments 指定されたサービスのサービスデプロイのリストを取得するアクセス許可を付与します リスト

service*

aws:ResourceTag/${TagKey}

ecs:cluster

ListServices 指定されたクラスターで実行されているサービスのリストを取得するためのアクセス許可を付与 リスト

ecs:cluster

ListServicesByNamespace 指定された AWS クラウド マップ名前空間で実行されているサービスのリストを取得する許可を付与 リスト

ecs:namespace

ListTagsForResource 指定されたリソースのタグのリストを取得するためのアクセス許可を付与 読み取り

capacity-provider

cluster

container-instance

service

task

task-definition

task-set

aws:ResourceTag/${TagKey}

ListTaskDefinitionFamilies アカウントに登録されているタスク定義ファミリーのリストを取得するアクセス許可を付与します (ACTIVE タスク定義がなくなったタスク定義ファミリーが含まれる場合があります)。 リスト
ListTaskDefinitions アカウントに登録されているタスク定義のリストを取得するためのアクセス許可を付与 リスト
ListTasks 指定したクラスターのタスクの一覧を取得するためのアクセス許可を付与 リスト

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

Poll[アクセス許可のみ] Amazon ECS サービスに接続してステータスをレポートし、コマンドを取得するアクセス許可をエージェントに付与します 書き込み

container-instance*

ecs:cluster

PutAccountSetting アカウントの指定された ARN ユーザー、Word IAMロール、またはルートユーザーのリソースの IAM およびリソース ID 形式を変更するアクセス許可を付与します。作成された新しいリソースに対して新しい ARN とリソース ID 形式を有効にするかどうかを指定できます。リソースのタグ付けなどの新しい Amazon ECS 機能を使用するには、この設定を有効にする必要があります 書き込み

ecs:account-setting

PutAccountSettingDefault 個々のアカウント設定が設定されていないアカウントのすべての ARN ユーザーのリソースタイプの IAM およびリソース ID 形式を変更するアクセス許可を付与します。リソースのタグ付けなどの新しい Amazon ECS 機能を使用するには、この設定を有効にする必要があります 書き込み

ecs:account-setting

PutAttributes Amazon ECS リソースで属性を作成または更新するアクセス許可を付与します 書き込み

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

PutClusterCapacityProviders クラスターの使用可能なキャパシティープロバイダーおよびデフォルトのキャパシティープロバイダー戦略を変更するためのアクセス許可を付与 書き込み

cluster*

aws:ResourceTag/${TagKey}

ecs:capacity-provider

RegisterContainerInstance EC2 インスタンスを指定されたクラスターに登録するアクセス許可を付与します 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

RegisterTaskDefinition 指定されたファミリーと containerDefinitions から新しいタスク定義を登録する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

RunTask ランダム配置とデフォルトの Amazon ECS スケジューラを使用してタスクを開始するアクセス許可を付与します 書き込み

task-definition*

iam:PassRole

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:capacity-provider

ecs:enable-ebs-volumes

ecs:enable-execute-command

StartTask 指定された 1 つまたは複数のコンテナインスタンスで、指定されたタスク定義から新しいタスクを開始するためのアクセス許可を付与 Write

task-definition*

iam:PassRole

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:container-instances

ecs:enable-ebs-volumes

ecs:enable-execute-command

StartTelemetrySession テレメトリセッションを開始するためのアクセス許可を付与 Write

container-instance*

ecs:cluster

StopTask 実行中のタスクを停止するためのアクセス許可を付与 Write

task*

aws:ResourceTag/${TagKey}

ecs:cluster

SubmitAttachmentStateChanges アタッチメントの状態が変更された旨の確認を送信するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

SubmitContainerStateChange コンテナの状態が変更された旨の確認を送信するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

SubmitTaskStateChange タスクの状態が変更された旨の確認を送信するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

TagResource 指定されたリソースにタグを付けるアクセス許可を付与 タグ付け

capacity-provider

cluster

container-instance

service

task

task-definition

task-set

aws:TagKeys

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

ecs:CreateAction

UntagResource 指定されたリソースのタグを解除するアクセス許可を付与 タグ付け

capacity-provider

cluster

container-instance

service

task

task-definition

task-set

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateCapacityProvider 指定されたキャパシティープロバイダーを更新するためのアクセス許可を付与 Write

capacity-provider*

aws:ResourceTag/${TagKey}

UpdateCluster クラスターで使用する構成または設定を変更するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

ecs:fargate-ephemeral-storage-kms-key

UpdateClusterSettings クラスターで使用する設定を変更するためのアクセス許可を付与 書き込み

cluster*

aws:ResourceTag/${TagKey}

UpdateContainerAgent 指定されたコンテナインスタンスで Amazon ECS コンテナエージェントを更新するアクセス許可を付与します 書き込み

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateContainerInstancesState Amazon ECS コンテナインスタンスのステータスを変更するアクセス許可をユーザーに付与します 書き込み

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateService サービスのパラメータを変更するためのアクセス許可を付与 Write

service*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:capacity-provider

ecs:enable-ebs-volumes

ecs:enable-execute-command

ecs:enable-service-connect

ecs:namespace

ecs:task-definition

ecs:enable-vpc-lattice

UpdateServicePrimaryTaskSet サービスで使用されるプライマリタスクセットを変更するためのアクセス許可を付与 書き込み

service*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateTaskProtection タスクの保護ステータスを変更するための許可を付与します 書き込み

task*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateTaskSet 指定されたタスクセットを更新するためのアクセス許可を付与 Write

task-set*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

Amazon Elastic Container Service で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

container-instance arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

service arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

service-deployment arn:${Partition}:ecs:${Region}:${Account}:service-deployment/${ClusterName}/${ServiceName}/${ServiceDeploymentId}

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

service-revision arn:${Partition}:ecs:${Region}:${Account}:service-revision/${ClusterName}/${ServiceName}/${ServiceRevisionId}

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

task arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-definition arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

capacity-provider arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-set arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

Amazon Elastic Container Service の条件キー

Amazon Elastic Container Service では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString
ecs:CreateAction リソース作成 API アクションの名前でアクセスをフィルタリングします 文字列
ecs:ResourceTag/${TagKey} リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします 文字列
ecs:account-setting Amazon ECS アカウント設定名でアクセスをフィルタリングします 文字列
ecs:capacity-provider Amazon ARN キャパシティープロバイダーの ECS でアクセスをフィルタリングします ARN
ecs:cluster Amazon ARN クラスターの ECS でアクセスをフィルタリングします ARN
ecs:container-instances Amazon ARN コンテナインスタンスの ECS でアクセスをフィルタリングします ARN
ecs:container-name ECS タスク定義で定義されている Amazon ECS コンテナの名前でアクセスをフィルタリングします 文字列
ecs:enable-ebs-volumes ECS ECSタスクまたはサービスの Amazon Word マネージド Amazon EBS ボリューム機能でアクセスをフィルタリングします 文字列
ecs:enable-execute-command Amazon ECS タスクまたは Amazon ECS サービスの execute-command 機能でアクセスをフィルタリングします 文字列
ecs:enable-service-connect Service Connect 設定の有効フィールド値によりアクセスをフィルタリング 文字列
ecs:enable-vpc-lattice Amazon VPC サービスの ECS 格子機能でアクセスをフィルタリングします 文字列
ecs:fargate-ephemeral-storage-kms-key リクエストで指定された AWS KMS キー ID でアクセスをフィルタリングします 文字列
ecs:namespace Service Connect 設定で定義されている AWS クラウド マップ名前空間のARNでアクセスをフィルタリングします ARN
ecs:service Amazon ARN サービスの ECS でアクセスをフィルタリングします ARN
ecs:task Amazon ARN ECSタスクの単語でアクセスをフィルタリングします ARN
ecs:task-definition Amazon ARN タスク定義の ECS でアクセスをフィルタリングします ARN