Amazon MemoryDB のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MemoryDB のアクション、リソース、および条件キー

Amazon MemoryDB (サービスプレフィックス: memorydb) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon MemoryDB で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

注記

IAM で MemoryDB for Redis ポリシーを作成するときは、リソースブロックに「*」ワイルドカード文字を使用する必要があります。Word IAMポリシーで次の MemoryDB for Redis API アクションを使用する方法については、MemoryDBIAM」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchUpdateCluster サービスの更新を適用する許可を付与 書き込み

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

s3:GetObject

aws:ResourceTag/${TagKey}

Connect IAM ユーザーまたはロールが、指定された MemoryDB ユーザーとしてクラスター内のノードに接続できるようにします。 書き込み

cluster*

user*

aws:ResourceTag/${TagKey}

CopySnapshot 既存のスナップショットのコピーを作成する許可を付与 書き込み

snapshot*

memorydb:TagResource

s3:DeleteObject

s3:GetBucketAcl

s3:PutObject

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAcl 新しいアクセスコントロールリストを作成する許可を付与 書き込み

user*

memorydb:TagResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster クラスターを作成する許可を付与 書き込み

acl*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

memorydb:TagResource

s3:GetObject

parametergroup*

subnetgroup*

snapshot

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

memorydb:TLSEnabled

CreateParameterGroup 新しいパラメータグループを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

memorydb:TagResource

CreateSnapshot 現在の時点でクラスターのバックアップを作成する許可を付与 書き込み

cluster*

memorydb:TagResource

s3:DeleteObject

s3:GetBucketAcl

s3:PutObject

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSubnetGroup 新しいサブネットグループを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

memorydb:TagResource

CreateUser 新しいユーザーを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

memorydb:UserAuthenticationMode

memorydb:TagResource

DeleteAcl アクセスコントロールリストを削除する許可を付与 書き込み

acl*

aws:ResourceTag/${TagKey}

DeleteCluster 以前にプロビジョニングされたクラスターを削除する許可を付与 書き込み

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

snapshot

aws:ResourceTag/${TagKey}

DeleteParameterGroup パラメータグループを削除する許可を付与 書き込み

parametergroup*

aws:ResourceTag/${TagKey}

DeleteSnapshot スナップショットを削除する許可を付与 書き込み

snapshot*

aws:ResourceTag/${TagKey}

DeleteSubnetGroup サブネットグループを削除する許可を付与 書き込み

subnetgroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

DeleteUser ユーザーを削除する許可を付与 書き込み

user*

aws:ResourceTag/${TagKey}

DescribeAcls アクセスコントロールリストに関する情報を取得する許可を付与 読み取り

acl*

aws:ResourceTag/${TagKey}

DescribeClusters クラスター識別子が指定されていない場合はすべてのプロビジョニングされたクラスターに関する情報を取得し、クラスター識別子が指定されている場合は特定のクラスターについての情報を取得する許可を付与 読み取り

cluster*

aws:ResourceTag/${TagKey}

DescribeEngineVersions 利用可能なエンジンとそのバージョンのリストを表示する許可を付与 読み取り
DescribeEvents クラスター、サブネットグループ、およびパラメータグループに関連するイベントを取得する許可を付与 読み取り
DescribeParameterGroups パラメータグループに関する情報を取得する許可を付与 読み取り

parametergroup*

aws:ResourceTag/${TagKey}

DescribeParameters 特定のパラメータグループの詳細なパラメータリストを取得する許可を付与 読み取り

parametergroup*

aws:ResourceTag/${TagKey}

DescribeReservedNodes リザーブドノードを取得するアクセス許可を付与 読み取り

reservednode*

aws:ResourceTag/${TagKey}

DescribeReservedNodesOfferings リザーブドノードオファリングを取得するアクセス許可を付与 読み取り
DescribeServiceUpdates サービス更新の詳細を取得する許可を付与 読み取り
DescribeSnapshots クラスターのスナップショットに関する情報を取得する許可を付与 読み取り

snapshot*

aws:ResourceTag/${TagKey}

DescribeSubnetGroups サブネットグループのリストを取得する許可を付与 読み取り

subnetgroup*

aws:ResourceTag/${TagKey}

DescribeUsers ユーザーに関する情報を取得する許可を付与 読み取り

user*

aws:ResourceTag/${TagKey}

FailoverShard クラスター内の指定されたシャードで自動フェイルオーバーをテストする許可を付与 書き込み

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

ListAllowedNodeTypeUpdates 利用可能なノードタイプの更新を一覧表示する許可を付与 読み取り

cluster*

aws:ResourceTag/${TagKey}

ListTags コスト割り当てタグを一覧表示する許可を付与 読み取り

acl

cluster

parametergroup

snapshot

subnetgroup

user

aws:ResourceTag/${TagKey}

PurchaseReservedNodesOffering 新しいリザーブドノードを購入するアクセス許可を付与 書き込み

reservednode*

memorydb:TagResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

ResetParameterGroup パラメータグループのパラメータをエンジンまたはシステムのデフォルト値に変更する許可を付与 書き込み

parametergroup*

aws:ResourceTag/${TagKey}

TagResource 名前のついたリソースに最大 10 個のコスト割り当てタグを追加する許可を付与 タグ付け

acl

cluster

parametergroup

reservednode

snapshot

subnetgroup

user

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource TagKeys リストで識別されたタグをリソースから削除するアクセス許可を付与します タグ付け

acl

cluster

parametergroup

snapshot

subnetgroup

user

aws:TagKeys

aws:ResourceTag/${TagKey}

UpdateAcl アクセスコントロールリストを更新する許可を付与 書き込み

acl*

user*

aws:ResourceTag/${TagKey}

UpdateCluster クラスターの設定を更新する許可を付与 書き込み

cluster*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

acl

parametergroup

aws:ResourceTag/${TagKey}

UpdateParameterGroup パラメータグループのパラメータを更新する許可を付与 書き込み

parametergroup*

aws:ResourceTag/${TagKey}

UpdateSubnetGroup サブネットグループを更新する許可を付与 書き込み

subnetgroup*

aws:ResourceTag/${TagKey}

UpdateUser ユーザーを更新する許可を付与 書き込み

user*

aws:ResourceTag/${TagKey}

memorydb:UserAuthenticationMode

Amazon MemoryDB で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
parametergroup arn:${Partition}:memorydb:${Region}:${Account}:parametergroup/${ParameterGroupName}

aws:ResourceTag/${TagKey}

subnetgroup arn:${Partition}:memorydb:${Region}:${Account}:subnetgroup/${SubnetGroupName}

aws:ResourceTag/${TagKey}

cluster arn:${Partition}:memorydb:${Region}:${Account}:cluster/${ClusterName}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:memorydb:${Region}:${Account}:snapshot/${SnapshotName}

aws:ResourceTag/${TagKey}

user arn:${Partition}:memorydb:${Region}:${Account}:user/${UserName}

aws:ResourceTag/${TagKey}

acl arn:${Partition}:memorydb:${Region}:${Account}:acl/${AclName}

aws:ResourceTag/${TagKey}

reservednode arn:${Partition}:memorydb:${Region}:${Account}:reservednode/${ReservationID}

aws:ResourceTag/${TagKey}

Amazon MemoryDB の条件キー

Amazon MemoryDB では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 ArrayOfString
memorydb:TLSEnabled リクエストに存在する TLSEnabled パラメータでアクセスをフィルタリングします。パラメータが存在しない場合はデフォルトで true 値になります。 Bool
memorydb:UserAuthenticationMode リクエスト内の UserAuthenticationMode.Type パラメータでアクセスをフィルタリングします 文字列