Amazon Macie のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Macie のアクション、リソース、および条件キー

Amazon Macie (サービスプレフィックス: macie2) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Macie で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptInvitation Amazon Macie メンバーシップへの招待を承諾するアクセス許可を付与します。 書き込み
BatchGetCustomDataIdentifiers 1 つ以上のカスタムデータ識別子に関する情報を取得するアクセス許可を付与します Read

CustomDataIdentifier*

CreateClassificationJob 分類ジョブの設定を作成および定義するアクセス許可を付与します 書き込み

ClassificationJob*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCustomDataIdentifier カスタムデータ識別子の設定を作成および定義するアクセス許可を付与します 書き込み

CustomDataIdentifier*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFindingsFilter 結果フィルターの設定を作成および定義するアクセス許可を付与します 書き込み

FindingsFilter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInvitations Amazon Macie メンバーシップ招待状を送信するアクセス許可を付与します 書き込み
CreateMember アカウントを Amazon Macie マスターアカウントに関連付けるアクセス許可を付与します 書き込み

Member*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSampleFindings サンプル結果を作成するアクセス許可を付与します。 書き込み
DeclineInvitations Amazon Macie メンバーシップへの招待を拒否するアクセス許可を付与します 書き込み
DeleteCustomDataIdentifier カスタムデータ識別子を削除するアクセス許可を付与します 書き込み

CustomDataIdentifier*

DeleteFindingsFilter 結果フィルターを削除するアクセス許可を付与します 書き込み

FindingsFilter*

DeleteInvitations Amazon Macie メンバーシップの招待状を削除するアクセス許可を付与します 書き込み
DeleteMember Amazon Macie マスターアカウントとアカウント間の関連付けを削除するアクセス許可を付与します 書き込み

Member*

DescribeBuckets Amazon Macie が監視および分析する S3 バケットに関する統計データおよびその他のデータを取得するアクセス許可を付与します Read
DescribeClassificationJob 分類ジョブのステータスと設定に関する情報を取得するアクセス許可を付与します Read

ClassificationJob*

DescribeOrganizationConfiguration AWS Organization の Amazon Macie 構成設定に関する情報を取得するアクセス許可を付与します Read
DisableMacie Amazon Macie アカウントを無効にするアクセス許可を付与します。これにより、アカウントの Macie リソースも削除されます 書き込み
DisableOrganizationAdminAccount AWS organization の Amazon Macie の委任管理者としてアカウントを無効にするアクセス許可を付与します 書き込み
DisassociateFromMasterAccount マスターアカウントからの関連付けを解除するアクセス許可を Amazon Macie メンバーアカウントに付与します 書き込み
DisassociateMember Amazon Macie マスターアカウントにメンバーアカウントとの関連付けを解除するアクセス許可を付与します 書き込み

Member*

EnableMacie 新しい Amazon Macie アカウントの設定を有効にして指定するためのアクセス許可を付与します 書き込み
EnableOrganizationAdminAccount AWS organization の Amazon Macie の委任管理者としてアカウントを有効にするアクセス許可を付与します 書き込み
GetBucketStatistics Amazon Macie が監視および分析するすべての S3 バケットの集計された統計データを取得するアクセス許可を付与します Read
GetClassificationExportConfiguration データ分類結果をエクスポートするための設定を取得するアクセス許可を付与します Read
GetCustomDataIdentifier カスタムデータ識別子の設定に関する情報を取得するアクセス許可を付与します Read

CustomDataIdentifier*

GetFindingStatistics 結果に関する集計された統計データを取得するアクセス許可を付与します Read
GetFindings 1 つ以上の結果に関する情報を取得するアクセス許可を付与します Read
GetFindingsFilter 結果フィルターの設定に関する情報を取得するアクセス許可を付与します Read

FindingsFilter*

GetInvitationsCount アカウントで受け取った Amazon Macie メンバーシップの招待状の数を取得するアクセス許可を付与します Read
GetMacieSession Amazon Macie アカウントのステータスと構成設定に関する情報を取得するアクセス許可を付与します Read
GetMasterAccount アカウントの Amazon Macie マスターアカウントに関する情報を取得するアクセス許可を付与します Read
GetMember Amazon Macie マスターアカウントに関連付けられているアカウントに関する情報を取得するアクセス許可を付与します Read

Member*

GetUsageStatistics 1 つ以上のアカウントのクォータと集計された使用状況データを取得するアクセス許可を付与します Read
GetUsageTotals アカウントの集計使用状況データを取得するアクセス許可を付与します Read
ListClassificationJobs 1 つ以上の分類ジョブのステータスと設定に関する情報を取得するアクセス許可を付与します リスト
ListCustomDataIdentifiers すべてのカスタムデータ識別子に関する情報を取得するアクセス許可を付与します リスト
ListFindings 1 つ以上の結果に関する情報のサブセットを取得するアクセス許可を付与します リスト
ListFindingsFilters すべての結果フィルターに関する情報を取得するアクセス許可を付与します リスト
ListInvitations アカウントから受け取ったすべての Amazon Macie メンバーシップ招待状に関する情報を取得するアクセス許可を付与します リスト
ListMembers Amazon Macie マスターアカウントに関連付けられているすべてのアカウントに関する情報を取得するアクセス許可を付与します リスト
ListOrganizationAdminAccounts AWS organization の委任された Amazon Macie 管理者アカウントに関する情報を取得するアクセス許可を付与します リスト
ListTagsForResource Amazon Macie リソースまたはメンバーアカウントのタグを取得するアクセス許可を付与します リスト
PutClassificationExportConfiguration データ分類結果をエクスポートするための設定を作成または更新するアクセス許可を付与します 書き込み
TagResource Amazon Macie リソースまたはメンバーアカウントのタグを追加または更新するアクセス許可を付与します タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

TestCustomDataIdentifier カスタムデータ識別子をテストするアクセス許可を付与します 書き込み
UntagResource Amazon Macie リソースまたはメンバーアカウントからタグを削除するアクセス許可を付与します タグ付け

aws:TagKeys

UpdateClassificationJob 分類ジョブをキャンセルするアクセス許可を付与します 書き込み

ClassificationJob*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateFindingsFilter 結果フィルターの設定を更新するアクセス許可を付与します 書き込み

FindingsFilter*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateMacieSession Amazon Macie アカウントの一時停止または再有効化、または Macie アカウントの構成設定を更新するアクセス許可を付与します 書き込み
UpdateMemberSession Amazon Macie マスターアカウントにメンバーアカウントの一時停止または再有効化するアクセス許可を付与します 書き込み
UpdateOrganizationConfiguration AWS organization の Amazon Macie 構成設定を更新するアクセス許可を付与します 書き込み

Amazon Macie で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
ClassificationJob arn:${Partition}:macie2:${Region}:${Account}:classification-job/${ResourceId}

aws:ResourceTag/${TagKey}

CustomDataIdentifier arn:${Partition}:macie2:${Region}:${Account}:custom-data-identifier/${ResourceId}

aws:ResourceTag/${TagKey}

FindingsFilter arn:${Partition}:macie2:${Region}:${Account}:findings-filter/${ResourceId}

aws:ResourceTag/${TagKey}

Member arn:${Partition}:macie2:${Region}:${Account}:member/${ResourceId}

aws:ResourceTag/${TagKey}

Amazon Macie の条件キー

Amazon Macie では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクセスをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグキーと値のペアに基づいてアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクセスをフィルタリングします 文字列