Amazon Macie のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie のアクション、リソース、および条件キー

Amazon Macie (サービスプレフィックス: macie2) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon Macie で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

注記

DisassociateFromMasterAccount および GetMasterAccount アクションは廃止されました。代わりに、 DisassociateFromAdministratorAccount アクションと GetAdministratorAccount アクションをそれぞれ指定することをお勧めします。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptInvitation Amazon Macie メンバーシップへの招待を承諾する許可を付与。 Write
BatchGetCustomDataIdentifiers 1 つ以上のカスタムデータ識別子に関する情報を取得する許可を付与 読み取り

CustomDataIdentifier*

BatchUpdateAutomatedDiscoveryAccounts 組織内の 1 つ以上のアカウントの機密データの自動検出のステータスを変更する許可を Amazon Macie 管理者に付与する 書き込み
CreateAllowList 許可リストの設定を作成および定義するアクセス許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClassificationJob 機密データ検出ジョブの設定を作成および定義する許可を付与 Write

ClassificationJob*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCustomDataIdentifier カスタムデータ識別子の設定を作成および定義する許可を付与 Write

CustomDataIdentifier*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFindingsFilter 結果フィルターの設定を作成および定義する許可を付与 Write

FindingsFilter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInvitations Amazon Macie メンバーシップ招待状を送信する許可を付与 Write
CreateMember アカウントを Amazon Macie 管理者アカウントに関連付けるアクセス許可を付与 Write

Member*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSampleFindings サンプル結果を作成する許可を付与。 Write
DeclineInvitations Amazon Macie メンバーシップへの招待を拒否する許可を付与 書き込み
DeleteAllowList 許可リストを削除するアクセス許可を付与 書き込み

AllowList*

DeleteCustomDataIdentifier カスタムデータ識別子を削除する許可を付与 Write

CustomDataIdentifier*

DeleteFindingsFilter 結果フィルターを削除する許可を付与 Write

FindingsFilter*

DeleteInvitations Amazon Macie メンバーシップの招待状を削除する許可を付与 Write
DeleteMember Amazon Macie 管理者アカウントとアカウント間の関連付けを削除する許可を付与 Write

Member*

DescribeBuckets Amazon Macie が監視および分析する S3 バケットに関する統計データおよびその他の情報を取得する許可を付与 Read
DescribeClassificationJob 機密データ検出ジョブのステータスと設定に関する情報を取得する許可を付与 読み取り

ClassificationJob*

DescribeOrganizationConfiguration AWS 組織の Amazon Macie 構成設定に関する情報を取得するアクセス許可を付与します 読み取り
DisableMacie Amazon Macie アカウントを無効にする許可を付与。これにより、アカウントの Macie リソースも削除されます 書き込み
DisableOrganizationAdminAccount AWS 組織の委任 Amazon Macie 管理者アカウントとしてアカウントを無効にするアクセス許可を付与します 書き込み
DisassociateFromAdministratorAccount Macie 管理者アカウントとの関連付けを解除するアクセス許可を Amazon Macie メンバーアカウントに付与 書き込み
DisassociateFromMasterAccount Macie 管理者アカウントとの関連付けを解除するアクセス許可を Amazon Macie メンバーアカウントに付与 書き込み
DisassociateMember Macie メンバーアカウントとの関連付けを解除するアクセス許可を Amazon Macie 管理者アカウントに付与 書き込み

Member*

EnableMacie 新しい Amazon Macie アカウントの設定を有効にして指定するためのアクセス許可を付与 書き込み
EnableOrganizationAdminAccount AWS 組織の委任 Amazon Macie 管理者アカウントとしてアカウントを有効にするアクセス許可を付与します 書き込み
GetAdministratorAccount Amazon Macie 管理者アカウントに関する情報を取得するアクセス許可をアカウントに付与 読み取り
GetAllowList 許可リストの設定とステータスを取得するアクセス許可を付与 読み取り

AllowList*

GetAutomatedDiscoveryConfiguration Amazon Macie 管理者アカウント、組織、またはスタンドアロンアカウントの機密データ自動検出の設定とステータスを取得する許可を付与する 読み取り
GetBucketStatistics Amazon Macie が監視および分析するすべての S3 バケットの集計された統計データを取得する許可を付与 Read
GetClassificationExportConfiguration 機密データ検出結果をエクスポートするための設定を取得する許可を付与 読み取り
GetClassificationScope アカウントにおける分類スコープ設定を取得する許可を付与 読み取り
GetCustomDataIdentifier カスタムデータ識別子の設定に関する情報を取得する許可を付与 Read

CustomDataIdentifier*

GetFindingStatistics 結果に関する集計された統計データを取得する許可を付与 Read
GetFindings 1 つまたは複数の結果の詳細を取得する許可を付与 Read
GetFindingsFilter 結果フィルターの設定に関する情報を取得する許可を付与 読み取り

FindingsFilter*

GetFindingsPublicationConfiguration AWS Security Hub に結果を発行するための構成設定を取得するアクセス許可を付与します 読み取り
GetInvitationsCount アカウントで受け取った Amazon Macie メンバーシップの招待状の数を取得する許可を付与 Read
GetMacieSession Amazon Macie アカウントのステータスと構成設定に関する情報を取得する許可を付与 読み取り
GetMasterAccount Amazon Macie 管理者アカウントに関する情報を取得するアクセス許可をアカウントに付与 読み取り
GetMember Amazon Macie 管理者アカウントに関連付けられているアカウントに関する情報を取得する許可を付与 読み取り

Member*

GetResourceProfile S3 バケットの機密データ検出統計と機密性スコアを取得する許可を付与 読み取り
GetRevealConfiguration 検出結果によって報告された機密データの出現の取得のために、ステータスと構成設定を取得する許可を付与 読み取り
GetSensitiveDataOccurrences 検出結果によって報告された機密データの出現を取得する許可を付与 読み取り
GetSensitiveDataOccurrencesAvailability 検出結果のために機密データの出現を取得できるかどうかを確認する許可を付与 読み取り
GetSensitivityInspectionTemplate アカウントの機密性検出テンプレート設定を取得する許可を付与 読み取り
GetUsageStatistics 1 つ以上のアカウントのクォータと集計された使用状況データを取得する許可を付与 Read
GetUsageTotals アカウントの集計使用状況データを取得する許可を付与 読み取り
ListAllowLists アカウントのすべての許可リストに関する情報のサブセットを取得するアクセス許可を付与 リスト
ListAutomatedDiscoveryAccounts アカウントにおける機密データの自動検出ステータスを取得する許可を付与する リスト
ListClassificationJobs 1 つ以上の機密データ検出ジョブのステータスと設定に関する情報を取得する許可を付与 リスト
ListClassificationScopes アカウントの分類スコープに関する情報のサブセットを取得する許可を付与 リスト
ListCustomDataIdentifiers すべてのカスタムデータ識別子に関する情報を取得する許可を付与 リスト
ListFindings 1 つ以上の結果に関する情報のサブセットを取得する許可を付与 リスト
ListFindingsFilters すべての結果フィルターに関する情報を取得する許可を付与 リスト
ListInvitations アカウントから受け取ったすべての Amazon Macie メンバーシップ招待状に関する情報を取得する許可を付与 リスト
ListManagedDataIdentifiers マネージドデータ識別子に関する情報を取得する許可を付与 リスト
ListMembers Amazon Macie マスターアカウントに関連付けられている Macie 管理者アカウントに関する情報を取得する許可を付与 リスト
ListOrganizationAdminAccounts AWS 組織の委任 Amazon Macie 管理者アカウントに関する情報を取得するアクセス許可を付与します リスト
ListResourceProfileArtifacts 機密データの自動検出用に S3 バケットから Amazon Macie が選択したオブジェクトに関する情報を取得する許可を付与する リスト
ListResourceProfileDetections Amazon Macie が S3 バケットで見つけた機密データの種類と量に関する情報を取得する許可を付与 リスト
ListSensitivityInspectionTemplates アカウントの機密性検出テンプレートに関する情報のサブセットを取得する許可を付与 リスト
ListTagsForResource Amazon Macie リソースのタグを取得する許可を付与 Read

AllowList

ClassificationJob

CustomDataIdentifier

FindingsFilter

Member

PutClassificationExportConfiguration 機密データ検出結果を保存するための設定を作成または更新する許可を付与 書き込み
PutFindingsPublicationConfiguration AWS Security Hub に結果を発行するための構成設定を更新するアクセス許可を付与します 書き込み
SearchResources Amazon Macie がモニタリングおよび分析する AWS リソースに関する統計データおよびその他の情報を取得する許可を付与 読み取り
TagResource Amazon Macie リソースのタグを追加または更新する許可を付与 タグ付け

AllowList

ClassificationJob

CustomDataIdentifier

FindingsFilter

Member

aws:RequestTag/${TagKey}

aws:TagKeys

TestCustomDataIdentifier カスタムデータ識別子をテストする許可を付与 Write
UntagResource Amazon Macie リソースからタグを削除する許可を付与。 タグ付け

AllowList

ClassificationJob

CustomDataIdentifier

FindingsFilter

Member

aws:TagKeys

UpdateAllowList 許可リストの設定を更新するアクセス許可を付与 書き込み

AllowList*

UpdateAutomatedDiscoveryConfiguration Amazon Macie 管理者アカウント、組織、またはスタンドアロンアカウントの機密データの自動検出のステータスを変更する許可を付与する 書き込み
UpdateClassificationJob 機密データ検出ジョブのステータスを変更する許可を付与 書き込み

ClassificationJob*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateClassificationScope アカウントにおける分類スコープ設定を更新する許可を付与 書き込み
UpdateFindingsFilter 結果フィルターの設定を更新する許可を付与 書き込み

FindingsFilter*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateMacieSession メンバーアカウントに対して Macie を一時停止または再有効化するアクセス許可を Amazon Macie 管理者アカウントに付与する 書き込み
UpdateMemberSession Macie メンバーアカウントを一時停止または再有効化するアクセス許可を Amazon Macie 管理者アカウントに付与 書き込み
UpdateOrganizationConfiguration AWS 組織の Amazon Macie 構成設定を更新する許可を付与 書き込み
UpdateResourceProfile S3 バケットの機密性スコアを更新する許可を付与 書き込み
UpdateResourceProfileDetections S3 バケットの機密性スコア設定を更新する許可を付与 書き込み
UpdateRevealConfiguration 検出結果によって報告された機密データの出現の取得のために、ステータスと構成設定を更新する許可を付与 書き込み
UpdateSensitivityInspectionTemplate アカウントの機密性検出テンプレート設定を更新する許可を付与 書き込み

Amazon Macie で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
AllowList arn:${Partition}:macie2:${Region}:${Account}:allow-list/${ResourceId}

aws:ResourceTag/${TagKey}

ClassificationJob arn:${Partition}:macie2:${Region}:${Account}:classification-job/${ResourceId}

aws:ResourceTag/${TagKey}

CustomDataIdentifier arn:${Partition}:macie2:${Region}:${Account}:custom-data-identifier/${ResourceId}

aws:ResourceTag/${TagKey}

FindingsFilter arn:${Partition}:macie2:${Region}:${Account}:findings-filter/${ResourceId}

aws:ResourceTag/${TagKey}

Member arn:${Partition}:macie2:${Region}:${Account}:member/${ResourceId}

aws:ResourceTag/${TagKey}

Amazon Macie の条件キー

Amazon Macie は、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで許可されているタグキーと値のペアによってアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} タグキーとリソースの値のペアによってアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString