Amazon MemoryDB のアクション、リソース、および条件キー - サービス認証リファレンス

Amazon MemoryDB のアクション、リソース、および条件キー

Amazon MemoryDB (サービスプレフィックス: memorydb) では、IAM 許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、および条件コンテキストキーが用意されています。

リファレンス:

Amazon MemoryDB で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

注記

IAM で MemoryDB for Redis ポリシーを作成する場合、リソースブロックでワイルドカード「*」を使用する必要があります。IAM ポリシーで Redis API アクションの以下の MemoryDB を使用する詳細については、「MemoryDB アクションと IAM」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchUpdateClusters サービスの更新を適用する許可を付与 Write

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

s3:GetObject

aws:ResourceTag/${TagKey}

CopySnapshot 既存のスナップショットのコピーを作成する許可を付与 Write

snapshot*

memorydb:TagResource

s3:DeleteObject

s3:GetBucketAcl

s3:PutObject

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAcl 新しいアクセスコントロールリストを作成する許可を付与 Write

user*

memorydb:TagResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster クラスターを作成する許可を付与 Write

acl*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

memorydb:TagResource

s3:GetObject

parametergroup*

subnetgroup*

snapshot

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateParameterGroup 新しいパラメータグループを作成する許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

memorydb:TagResource

CreateSnapshot 現在の時点でクラスターのバックアップを作成する許可を付与 Write

cluster*

memorydb:TagResource

s3:DeleteObject

s3:GetBucketAcl

s3:PutObject

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSubnetGroup 新しいサブネットグループを作成する許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

memorydb:TagResource

CreateUser 新しいユーザーを作成する許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

memorydb:TagResource

DeleteAcl アクセスコントロールリストを削除する許可を付与 Write

acl*

aws:ResourceTag/${TagKey}

DeleteCluster 以前にプロビジョニングされたクラスターを削除する許可を付与 Write

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

snapshot

aws:ResourceTag/${TagKey}

DeleteParameterGroup パラメータグループを削除する許可を付与 Write

parametergroup*

aws:ResourceTag/${TagKey}

DeleteSnapshot スナップショットを削除する許可を付与 Write

snapshot*

aws:ResourceTag/${TagKey}

DeleteSubnetGroup サブネットグループを削除する許可を付与 Write

subnetgroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

DeleteUser ユーザーを削除する許可を付与 Write

user*

aws:ResourceTag/${TagKey}

DescribeAcls アクセスコントロールリストに関する情報を取得する許可を付与 Read

acl*

aws:ResourceTag/${TagKey}

DescribeClusters クラスター識別子が指定されていない場合はすべてのプロビジョニングされたクラスターに関する情報を取得し、クラスター識別子が指定されている場合は特定のクラスターについての情報を取得する許可を付与 Read

cluster*

aws:ResourceTag/${TagKey}

DescribeEngineVersions 利用可能なエンジンとそのバージョンのリストを表示する許可を付与 Read
DescribeEvents クラスター、サブネットグループ、およびパラメータグループに関連するイベントを取得する許可を付与 Read
DescribeParameterGroups パラメータグループに関する情報を取得する許可を付与 Read

parametergroup*

aws:ResourceTag/${TagKey}

DescribeParameters 特定のパラメータグループの詳細なパラメータリストを取得する許可を付与 Read

parametergroup*

aws:ResourceTag/${TagKey}

DescribeServiceUpdates サービス更新の詳細を取得する許可を付与 Read
DescribeSnapshots クラスターのスナップショットに関する情報を取得する許可を付与 Read

snapshot*

aws:ResourceTag/${TagKey}

DescribeSubnetGroups サブネットグループのリストを取得する許可を付与 Read

subnetgroup*

aws:ResourceTag/${TagKey}

DescribeUsers ユーザーに関する情報を取得する許可を付与 Read

user*

aws:ResourceTag/${TagKey}

FailoverShard クラスター内の指定されたシャードで自動フェイルオーバーをテストする許可を付与 Write

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

ListNodeTypeUpdates 利用可能なノードタイプの更新を一覧表示する許可を付与 Read

cluster*

aws:ResourceTag/${TagKey}

ListTags コスト割り当てタグを一覧表示する許可を付与 Read

acl

cluster

parametergroup

snapshot

subnetgroup

user

aws:ResourceTag/${TagKey}

ResetParameterGroup パラメータグループのパラメータをエンジンまたはシステムのデフォルト値に変更する許可を付与 Write

parametergroup*

aws:ResourceTag/${TagKey}

TagResource 名前のついたリソースに最大 10 個のコスト割り当てタグを追加する許可を付与 タグ付け

acl

cluster

parametergroup

snapshot

subnetgroup

user

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource TagKeys リストによって識別されたタグをリソースから削除する許可を付与 タグ付け

acl

cluster

parametergroup

snapshot

subnetgroup

user

aws:TagKeys

aws:ResourceTag/${TagKey}

UpdateAcl アクセスコントロールリストを更新する許可を付与 Write

acl*

user*

aws:ResourceTag/${TagKey}

UpdateCluster クラスターの設定を更新する許可を付与 Write

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

acl

parametergroup

aws:ResourceTag/${TagKey}

UpdateParameterGroup パラメータグループのパラメータを更新する許可を付与 Write

parametergroup*

aws:ResourceTag/${TagKey}

UpdateSubnetGroup サブネットグループを更新する許可を付与 Write

subnetgroup*

aws:ResourceTag/${TagKey}

UpdateUser ユーザーを更新する許可を付与 Write

user*

aws:ResourceTag/${TagKey}

Amazon MemoryDB で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
parametergroup arn:${Partition}:memorydb:${Region}:${Account}:parametergroup/${ParameterGroupName}

aws:ResourceTag/${TagKey}

subnetgroup arn:${Partition}:memorydb:${Region}:${Account}:subnetgroup/${SubnetGroupName}

aws:ResourceTag/${TagKey}

cluster arn:${Partition}:memorydb:${Region}:${Account}:cluster/${ClusterName}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:memorydb:${Region}:${Account}:snapshot/${SnapshotName}

aws:ResourceTag/${TagKey}

user arn:${Partition}:memorydb:${Region}:${Account}:user/${UserName}

aws:ResourceTag/${TagKey}

acl arn:${Partition}:memorydb:${Region}:${Account}:acl/${AclName}

aws:ResourceTag/${TagKey}

Amazon MemoryDB の条件キー

Amazon MemoryDB は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 文字列