Amazon VPC Lattice のアクション、リソース、および条件キー - サービス認可リファレンス

Amazon VPC Lattice のアクション、リソース、および条件キー

Amazon VPC Lattice (サービスプレフィックス: vpc-lattice) では、IAM 許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon VPC Lattice で定義されたアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CreateAccessLogSubscription アクセスログサブスクリプションを作成する許可を付与 書き込み

AccessLogSubscription*

logs:CreateLogDelivery

logs:GetLogDelivery

aws:TagKeys

aws:RequestTag/${TagKey}

CreateListener リスナーを作成する許可を付与 書き込み

Listener*

vpc-lattice:Protocol

vpc-lattice:TargetGroupArns

aws:TagKeys

aws:RequestTag/${TagKey}

CreateRule ルールを作成する許可を付与 書き込み

Rule*

vpc-lattice:TargetGroupArns

aws:TagKeys

aws:RequestTag/${TagKey}

CreateService サービスを作成する許可を付与 書き込み

Service*

iam:CreateServiceLinkedRole

vpc-lattice:AuthType

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceNetwork サービスネットワークを作成する許可を付与 書き込み

ServiceNetwork*

iam:CreateServiceLinkedRole

vpc-lattice:AuthType

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceNetworkServiceAssociation サービスネットワークとサービスアソシエーションを作成する許可を付与 書き込み

Service*

ServiceNetwork*

ServiceNetworkServiceAssociation*

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceNetworkVpcAssociation サービスネットワークと VPC アソシエーションを作成する許可を付与 書き込み

ServiceNetwork*

ec2:DescribeVpcs

ServiceNetworkVpcAssociation*

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

vpc-lattice:SecurityGroupIds

aws:TagKeys

aws:RequestTag/${TagKey}

CreateTargetGroup ターゲットグループを作成する許可を付与 書き込み

TargetGroup*

iam:CreateServiceLinkedRole

vpc-lattice:VpcId

aws:TagKeys

aws:RequestTag/${TagKey}

DeleteAccessLogSubscription アクセスログサブスクリプションを削除する許可を付与 書き込み

AccessLogSubscription*

logs:DeleteLogDelivery

logs:GetLogDelivery

aws:ResourceTag/${TagKey}

DeleteAuthPolicy 認証ポリシーを削除する許可を付与 権限の管理

Service

ServiceNetwork

DeleteListener リスナーを削除するアクセス許可を付与 書き込み

Listener*

aws:ResourceTag/${TagKey}

DeleteResourcePolicy リソースポリシーを削除する許可を付与。 書き込み

Service

ServiceNetwork

DeleteRule ルールを削除する許可を付与 書き込み

Rule*

aws:ResourceTag/${TagKey}

DeleteService サービスを削除する許可を付与 書き込み

Service*

aws:ResourceTag/${TagKey}

DeleteServiceNetwork サービスネットワークを削除する許可を付与 書き込み

ServiceNetwork*

aws:ResourceTag/${TagKey}

DeleteServiceNetworkServiceAssociation サービスネットワークとサービスアソシエーションを削除する許可を付与 書き込み

ServiceNetworkServiceAssociation*

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

aws:ResourceTag/${TagKey}

DeleteServiceNetworkVpcAssociation サービスネットワークと VPC アソシエーションを削除する許可を付与 書き込み

ServiceNetworkVpcAssociation*

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

aws:ResourceTag/${TagKey}

DeleteTargetGroup ターゲットグループを削除する許可を付与 書き込み

TargetGroup*

aws:ResourceTag/${TagKey}

DeregisterTargets ターゲットグループからターゲットの登録を削除する許可を付与 書き込み

TargetGroup*

GetAccessLogSubscription アクセスログサブスクリプションに関する情報を取得する許可を付与 読み取り

AccessLogSubscription*

logs:GetLogDelivery

aws:ResourceTag/${TagKey}

GetAuthPolicy 認証ポリシーに関する情報を取得する許可を付与 読み取り

Service

ServiceNetwork

GetListener リスナーに関する情報を取得する許可を付与 読み取り

Listener*

aws:ResourceTag/${TagKey}

GetResourcePolicy リソースポリシーに関する情報を取得する許可を付与 読み取り

Service

ServiceNetwork

GetRule ルールに関する情報を取得する許可を付与 読み取り

Rule*

aws:ResourceTag/${TagKey}

GetService サービスに関する情報を取得する許可を付与 読み取り

Service*

aws:ResourceTag/${TagKey}

GetServiceNetwork サービスネットワークに関する情報を取得する許可を付与 読み取り

ServiceNetwork*

aws:ResourceTag/${TagKey}

GetServiceNetworkServiceAssociation サービスネットワークとサービスアソシエーションに関する情報を取得する許可を付与 読み取り

ServiceNetworkServiceAssociation*

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

aws:ResourceTag/${TagKey}

GetServiceNetworkVpcAssociation サービスネットワークと VPC アソシエーションに関する情報を取得する許可を付与 読み取り

ServiceNetworkVpcAssociation*

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

aws:ResourceTag/${TagKey}

GetTargetGroup ターゲットグループに関する情報を取得する許可を付与 読み取り

TargetGroup*

aws:ResourceTag/${TagKey}

ListAccessLogSubscriptions サービスネットワークまたはサービスに関する一部またはすべてのアクセスログサブスクリプションを一覧表示する許可を付与 リスト
ListListeners 一部またはすべてのリスナーを一覧表示する許可を付与 リスト
ListRules 一部またはすべてのルールを一覧表示する許可を付与 リスト
ListServiceNetworkServiceAssociations 一部またはすべてのサービスネットワークとサービスアソシエーションを一覧表示する許可を付与 リスト

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

ListServiceNetworkVpcAssociations 一部またはすべてのサービスネットワークと VPC アソシエーションを一覧表示する許可を付与 リスト

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

ListServiceNetworks 発信者アカウントが所有する、または発信者アカウントと共有するサービスネットワークを一覧表示する許可を付与 リスト
ListServices 発信者アカウントが所有する、または発信者アカウントと共有するサービスを一覧表示する許可を付与 リスト
ListTagsForResource VPC Lattice リソースのタグ付けを一覧表示する許可を付与 読み取り
ListTargetGroups 一部またはすべてのターゲットグループを一覧表示する許可を付与 リスト
ListTargets ターゲットグループ内の一部またはすべてのターゲットを一覧表示する許可を付与 リスト

TargetGroup*

PutAuthPolicy サービスネットワークまたはサービスの認証ポリシーを作成または更新する許可を付与 権限の管理

Service

ServiceNetwork

PutResourcePolicy サービスネットワークまたはサービスのリソースポリシーを作成する許可を付与 書き込み

Service

ServiceNetwork

RegisterTargets ターゲットグループにターゲットを登録する許可を付与 書き込み

TargetGroup*

TagResource VPC Lattice リソースをタグ付けする許可を付与 タグ付け

AccessLogSubscription

Listener

Rule

Service

ServiceNetwork

ServiceNetworkServiceAssociation

ServiceNetworkVpcAssociation

TargetGroup

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource VPC Lattice リソースからタグを解除する許可を付与 タグ付け

AccessLogSubscription

Listener

Rule

Service

ServiceNetwork

ServiceNetworkServiceAssociation

ServiceNetworkVpcAssociation

TargetGroup

aws:TagKeys

UpdateAccessLogSubscription アクセスログサブスクリプションを更新する許可を付与 書き込み

AccessLogSubscription*

logs:GetLogDelivery

logs:UpdateLogDelivery

aws:ResourceTag/${TagKey}

UpdateListener リスナーを更新する許可を付与 書き込み

Listener*

vpc-lattice:TargetGroupArns

aws:ResourceTag/${TagKey}

UpdateRule ルールを更新する許可を付与 書き込み

Rule*

vpc-lattice:TargetGroupArns

aws:ResourceTag/${TagKey}

UpdateService サービスを更新する許可を付与 書き込み

Service*

vpc-lattice:AuthType

aws:ResourceTag/${TagKey}

UpdateServiceNetwork サービスネットワークを更新する許可を付与 書き込み

ServiceNetwork*

vpc-lattice:AuthType

aws:ResourceTag/${TagKey}

UpdateServiceNetworkVpcAssociation サービスネットワークと VPC アソシエーションを更新する許可を付与 書き込み

ServiceNetworkVpcAssociation*

ec2:DescribeSecurityGroups

ec2:DescribeVpcs

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

vpc-lattice:SecurityGroupIds

aws:ResourceTag/${TagKey}

UpdateTargetGroup ターゲットグループを更新する許可を付与 書き込み

TargetGroup*

aws:ResourceTag/${TagKey}

Amazon VPC Lattice で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
ServiceNetwork arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetwork/${ServiceNetworkId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:AuthType

Service arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:AuthType

ServiceNetworkVpcAssociation arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetworkvpcassociation/${ServiceNetworkVpcAssociationId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:SecurityGroupIds

vpc-lattice:ServiceNetworkArn

vpc-lattice:VpcId

ServiceNetworkServiceAssociation arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetworkserviceassociation/${ServiceNetworkServiceAssociationId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:ServiceArn

vpc-lattice:ServiceNetworkArn

TargetGroup arn:${Partition}:vpc-lattice:${Region}:${Account}:targetgroup/${TargetGroupId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:VpcId

Listener arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}/listener/${ListenerId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:Protocol

vpc-lattice:TargetGroupArns

Rule arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}/listener/${ListenerId}/rule/${RuleId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:TargetGroupArns

AccessLogSubscription arn:${Partition}:vpc-lattice:${Region}:${Account}:accesslogsubscription/${AccessLogSubscriptionId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

Amazon VPC Lattice の条件キー

Amazon VPC Lattice では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString
vpc-lattice:AuthType リクエストで指定された認証タイプによりアクセスをフィルタリング 文字列
vpc-lattice:Protocol リクエストで指定されたプロトコルによりアクセスをフィルタリング 文字列
vpc-lattice:SecurityGroupIds セキュリティグループの ID によりアクセスをフィルタリング ArrayOfString
vpc-lattice:ServiceArn サービスの ARN によりアクセスをフィルタリング ARN
vpc-lattice:ServiceNetworkArn サービスネットワークの ARN によりアクセスをフィルタリング ARN
vpc-lattice:TargetGroupArns ターゲットグループの ARN によりアクセスをフィルタリング ArrayOfARN
vpc-lattice:VpcId 仮想プライベートクラウド (VPC) の ID でアクセスをフィルタリングします 文字列