Amazon Elastic Container Service のアクション、リソース、および条件キー - サービス認証リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic Container Service のアクション、リソース、および条件キー

Amazon Elastic Container Service (サービスプレフィックス: ecs) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Elastic Container Service で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CreateCapacityProvider 新しいキャパシティプロバイダーを作成するためのアクセス許可を付与 キャパシティープロバイダーは Amazon ECS クラスターに関連付けられ、クラスターの自動スケーリングを容易にするキャパシティープロバイダー戦略で使用されます Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster 新しい Amazon ECS クラスターを作成するためのアクセス許可を付与 Write

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:capacity-provider

ecs:fargate-ephemeral-storage-kms-key

CreateService サービスの作成を通じて、指定されたタスク定義から必要な数のタスクを実行および管理するためのアクセス許可を付与 Write

service*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:capacity-provider

ecs:task-definition

ecs:enable-ebs-volumes

ecs:enable-execute-command

ecs:enable-service-connect

ecs:namespace

CreateTaskSet 新しい Amazon ECS タスクセットを作成するためのアクセス許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:capacity-provider

ecs:service

ecs:task-definition

DeleteAccountSetting アカウントの指定された IAM ユーザー、IAM ロール、またはルートユーザーについて、リソースの ARN およびリソース ID 形式を変更するためのアクセス許可を付与 作成される新しいリソースに対して新しい ARN およびリソース ID 形式を無効にするかどうかを指定できます Write

ecs:account-setting

DeleteAttributes Amazon ECS リソースから 1 つまたは複数のカスタム属性を削除するためのアクセス許可を付与 Write

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

DeleteCapacityProvider 指定されたキャパシティプロバイダーを削除するためのアクセス許可を付与 Write

capacity-provider*

aws:ResourceTag/${TagKey}

DeleteCluster 指定されたクラスターを削除するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

DeleteService クラスター内の指定されたサービスを削除するためのアクセス許可を付与 書き込み

service*

aws:ResourceTag/${TagKey}

ecs:cluster

DeleteTaskDefinitions ファミリーおよびリビジョンによって指定されたタスク定義を削除するための許可を付与します 書き込み

task-definition*

aws:ResourceTag/${TagKey}

DeleteTaskSet 指定したタスクセットを削除するためのアクセス許可を付与 Write

task-set*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

DeregisterContainerInstance 指定されたクラスターから Amazon ECS コンテナインスタンスを登録解除するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

DeregisterTaskDefinition ファミリーおよびリビジョンによって指定されたタスク定義を登録解除するためのアクセス許可を付与 Write
DescribeCapacityProviders 1 つ以上の Amazon ECS キャパシティープロバイダーを説明する許可を付与 Read

capacity-provider*

aws:ResourceTag/${TagKey}

DescribeClusters 1 つ以上のクラスターを記述するためのアクセス許可を付与 Read

cluster*

aws:ResourceTag/${TagKey}

DescribeContainerInstances Amazon ECS コンテナインスタンスを記述するためのアクセス許可を付与 Read

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

DescribeServices クラスターで実行されている指定されたサービスを記述するためのアクセス許可を付与 Read

service*

aws:ResourceTag/${TagKey}

ecs:cluster

DescribeTaskDefinition タスク定義を記述するためのアクセス許可を付与 ファミリーとリビジョンを指定して、特定のタスク定義に関する情報を検索するか、ファミリーのみを指定して、そのファミリーの最新の ACTIVE リビジョンを検索できます Read
DescribeTaskSets Amazon ECS タスクセットを記述するためのアクセス許可を付与 Read

task-set*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

DescribeTasks 指定した 1 つまたは複数のタスクを記述するためのアクセス許可を付与 Read

task*

aws:ResourceTag/${TagKey}

ecs:cluster

DiscoverPollEndpoint Amazon ECS エージェントが更新をポーリングするためのエンドポイントを取得するためのアクセス許可を付与 Write
ExecuteCommand Amazon ECS コンテナでリモートでコマンドを実行するためのアクセス許可を付与 書き込み

cluster*

task*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:container-name

ecs:task

GetTaskProtection Amazon ECS サービスのタスクの保護ステータスを取得するための許可を付与します 読み取り

task*

aws:ResourceTag/${TagKey}

ecs:cluster

ListAccountSettings 指定されたプリンシパルの Amazon ECS リソースのアカウント設定を一覧表示するためのアクセス許可を付与 Read
ListAttributes 指定されたターゲットタイプおよびクラスター内の Amazon ECS リソースの属性を一覧表示するためのアクセス許可を付与 リスト

cluster*

aws:ResourceTag/${TagKey}

ListClusters 既存のクラスターのリストを取得するためのアクセス許可を付与 リスト
ListContainerInstances 指定されたクラスター内のコンテナインスタンスのリストを取得するためのアクセス許可を付与 リスト

cluster*

aws:ResourceTag/${TagKey}

ListServices 指定されたクラスターで実行されているサービスのリストを取得するためのアクセス許可を付与 リスト

ecs:cluster

ListServicesByNamespace 指定された AWS クラウド マップ名前空間で実行されているサービスのリストを取得する許可を付与 リスト

ecs:namespace

ListTagsForResource 指定されたリソースのタグのリストを取得するためのアクセス許可を付与 Read

capacity-provider

cluster

container-instance

service

task

task-definition

task-set

aws:ResourceTag/${TagKey}

ListTaskDefinitionFamilies アカウントに登録されているタスク定義ファミリーのリストを取得するためのアクセス許可を付与 (ACTIVE タスク定義を持たないタスク定義ファミリーが含まれる場合があります)。 リスト
ListTaskDefinitions アカウントに登録されているタスク定義のリストを取得するためのアクセス許可を付与 リスト
ListTasks 指定したクラスターのタスクの一覧を取得するためのアクセス許可を付与 リスト

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

Poll [アクセス許可のみ] Amazon ECS サービスに接続してステータスを報告し、コマンドを取得するためのアクセス許可をエージェントに付与 Write

container-instance*

ecs:cluster

PutAccountSetting アカウントの指定された IAM ユーザー、IAM ロール、またはルートユーザーについて、リソースの ARN およびリソース ID 形式を変更するためのアクセス許可を付与 作成される新しいリソースに対して新しい ARN およびリソース ID 形式を有効にするかどうかを指定できます。この設定の有効化は、リソースのタグ付けなどの新しい Amazon ECS 機能を使用するために必要です Write

ecs:account-setting

PutAccountSettingDefault 個々のアカウント設定が行われていないアカウントのすべての IAM ユーザーについて、リソースタイプの ARN およびリソース ID 形式を変更するためのアクセス許可を付与 この設定の有効化は、リソースのタグ付けなどの新しい Amazon ECS 機能を使用するために必要です Write

ecs:account-setting

PutAttributes Amazon ECS リソースで属性を作成または更新するためのアクセス許可を付与 Write

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

PutClusterCapacityProviders クラスターの使用可能なキャパシティープロバイダーおよびデフォルトのキャパシティープロバイダー戦略を変更するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

ecs:capacity-provider

RegisterContainerInstance 指定されたクラスターに EC2 インスタンスを登録するためのアクセス許可を付与 Write

cluster*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

RegisterTaskDefinition 指定されたファミリーと containerDefinitions から新しいタスク定義を登録するためのアクセス許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

RunTask ランダム配置とデフォルトの Amazon ECS スケジューラを使用してタスクを開始するためのアクセス許可を付与 Write

task-definition*

iam:PassRole

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:capacity-provider

ecs:enable-ebs-volumes

ecs:enable-execute-command

StartTask 指定された 1 つまたは複数のコンテナインスタンスで、指定されたタスク定義から新しいタスクを開始するためのアクセス許可を付与 Write

task-definition*

iam:PassRole

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

ecs:cluster

ecs:container-instances

ecs:enable-ebs-volumes

ecs:enable-execute-command

StartTelemetrySession テレメトリセッションを開始するためのアクセス許可を付与 Write

container-instance*

ecs:cluster

StopTask 実行中のタスクを停止するためのアクセス許可を付与 Write

task*

aws:ResourceTag/${TagKey}

ecs:cluster

SubmitAttachmentStateChanges アタッチメントの状態が変更された旨の確認を送信するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

SubmitContainerStateChange コンテナの状態が変更された旨の確認を送信するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

SubmitTaskStateChange タスクの状態が変更された旨の確認を送信するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

TagResource 指定されたリソースにタグを付けるアクセス許可を付与 タグ付け

capacity-provider

cluster

container-instance

service

task

task-definition

task-set

aws:TagKeys

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

ecs:CreateAction

UntagResource 指定されたリソースのタグを解除するアクセス許可を付与 タグ付け

capacity-provider

cluster

container-instance

service

task

task-definition

task-set

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateCapacityProvider 指定されたキャパシティープロバイダーを更新するためのアクセス許可を付与 Write

capacity-provider*

aws:ResourceTag/${TagKey}

UpdateCluster クラスターで使用する構成または設定を変更するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

ecs:fargate-ephemeral-storage-kms-key

UpdateClusterSettings クラスターで使用する設定を変更するためのアクセス許可を付与 Write

cluster*

aws:ResourceTag/${TagKey}

UpdateContainerAgent 指定されたコンテナインスタンスの Amazon ECS コンテナエージェントを更新するためのアクセス許可を付与 Write

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateContainerInstancesState Amazon ECS コンテナインスタンスのステータスを変更するためのアクセス許可をユーザーに付与 Write

container-instance*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateService サービスのパラメータを変更するためのアクセス許可を付与 Write

service*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:capacity-provider

ecs:enable-ebs-volumes

ecs:enable-execute-command

ecs:enable-service-connect

ecs:namespace

ecs:task-definition

UpdateServicePrimaryTaskSet サービスで使用されるプライマリタスクセットを変更するためのアクセス許可を付与 書き込み

service*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateTaskProtection タスクの保護ステータスを変更するための許可を付与します 書き込み

task*

aws:ResourceTag/${TagKey}

ecs:cluster

UpdateTaskSet 指定されたタスクセットを更新するためのアクセス許可を付与 Write

task-set*

aws:ResourceTag/${TagKey}

ecs:cluster

ecs:service

Amazon Elastic Container Service で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:ecs:${Region}:${Account}:cluster/${ClusterName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

container-instance arn:${Partition}:ecs:${Region}:${Account}:container-instance/${ClusterName}/${ContainerInstanceId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

service arn:${Partition}:ecs:${Region}:${Account}:service/${ClusterName}/${ServiceName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task arn:${Partition}:ecs:${Region}:${Account}:task/${ClusterName}/${TaskId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-definition arn:${Partition}:ecs:${Region}:${Account}:task-definition/${TaskDefinitionFamilyName}:${TaskDefinitionRevisionNumber}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

capacity-provider arn:${Partition}:ecs:${Region}:${Account}:capacity-provider/${CapacityProviderName}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

task-set arn:${Partition}:ecs:${Region}:${Account}:task-set/${ClusterName}/${ServiceName}/${TaskSetId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

Amazon Elastic Container Service の条件キー

Amazon Elastic Container Service は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOf文字列
ecs:CreateAction リソース作成 API アクションの名前によってアクセスをフィルタリングします 文字列
ecs:ResourceTag/${TagKey} リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします 文字列
ecs:account-setting Amazon ECS アカウント設定名でアクセスをフィルタリング 文字列
ecs:capacity-provider Amazon ECS キャパシティープロバイダーの ARN に基づいて、アクセスをフィルタリングします ARN
ecs:cluster Amazon ECS クラスターの ARN でアクセスをフィルタリングします ARN
ecs:container-instances Amazon ECS コンテナインスタンスの ARN に基づいて、アクセスをフィルタリングします ARN
ecs:container-name ECS タスク定義で定義されている Amazon ECS コンテナの名前に基づいて、アクセスをフィルタリングします 文字列
ecs:enable-ebs-volumes ECS タスクまたはサービスの Amazon ECS マネージド Amazon EBS ボリューム機能でアクセスをフィルタリングします 文字列
ecs:enable-execute-command Amazon ECS タスクまたは Amazon ECS サービスの実行コマンド機能に基づいて、アクセスをフィルタリングします 文字列
ecs:enable-service-connect Service Connect 設定の有効フィールド値によりアクセスをフィルタリング 文字列
ecs:fargate-ephemeral-storage-kms-key リクエストで指定された AWS KMS キー ID でアクセスをフィルタリングします 文字列
ecs:namespace Service Connect 設定で定義されている AWS クラウド マップ名前空間の ARN でアクセスをフィルタリングします ARN
ecs:service Amazon ECS サービスの ARN に基づいて、アクセスをフィルタリングします ARN
ecs:task Amazon ECS タスクの ARN に基づいて、アクセスをフィルタリングします ARN
ecs:task-definition Amazon ECS タスク定義の ARN に基づいて、アクセスをフィルタリングします ARN