Amazon WorkDocs のアクション、リソース、および条件キー
Amazon WorkDocs (サービスプレフィックス: workdocs
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon WorkDocs で定義されるアクション
IAM ポリシーステートメントの Action
エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AbortDocumentVersionUpload | 以前に InitiateDocumentVersionUpload によって開始された、指定されたドキュメント バージョンのアップロードを中止するアクセス権限を付与する | 書き込み | |||
ActivateUser | 指定されたユーザーを有効にする許可を付与。アクティブユーザーのみが Amazon WorkDocs にアクセスできます | 書き込み | |||
AddNotificationPermissions [アクセス許可のみ] | 特定の WorkDocs サイトの通知サブスクリプション API を呼び出すことができるプリンシパルを追加する権限を付与する | 書き込み | |||
AddResourcePermissions | 指定のフォルダまたはドキュメントに対する一連のアクセス許可を作成する権限を付与する | 書き込み | |||
AddUserToGroup [アクセス許可のみ] | ユーザーをグループに追加する権限を付与する | 書き込み | |||
CheckAlias [アクセス許可のみ] | エイリアスを確認する権限を付与する | 読み取り | |||
CreateComment | 指定されたドキュメントバージョンに新しいコメントを追加する権限を付与する | 書き込み | |||
CreateCustomMetadata | 指定されたリソースに 1 つ以上のカスタムプロパティを追加する権限を付与する | 書き込み | |||
CreateFolder | 指定された名前と親フォルダを使用してフォルダを作成する権限を付与する | 書き込み | |||
CreateInstance [アクセス許可のみ] | インスタンスを作成する権限を付与する | 書き込み | |||
CreateLabels | 指定されたリソースにラベルを追加する権限を付与する | 書き込み | |||
CreateNotificationSubscription | Amazon SNS 通知を使用するように WorkDocs を設定する権限を付与する | 書き込み | |||
CreateUser | Simple AD ディレクトリまたは Microsoft AD ディレクトリ内にユーザーを作成する権限を付与うする | 書き込み | |||
DeactivateUser | 指定されたユーザーを無効化する権限を付与する。これにより、Amazon WorkDocs へのユーザーのアクセス許可が取り消されます | 書き込み | |||
DeleteComment | ドキュメントのバージョンから指定されたコメントを削除する権限を付与する | 書き込み | |||
DeleteCustomMetadata | 指定されたリソースからカスタムメタデータを削除する権限を付与する | 書き込み | |||
DeleteDocument | 指定されたドキュメントとそれに関連するメタデータを完全に削除する権限を付与する | 書き込み | |||
DeleteDocumentVersion | 指定されたドキュメントのバージョンを削除する許可を付与 | 書き込み | |||
DeleteFolder | 指定されたフォルダとそのコンテンツを完全に削除する権限を付与する | 書き込み | |||
DeleteFolderContents | 指定されたフォルダの内容を削除する権限を付与する | 書き込み | |||
DeleteInstance [アクセス許可のみ] | インスタンスを削除する許可を付与 | 書き込み | |||
DeleteLabels | リソースから 1 つ以上のラベルを削除する権限を付与する | 書き込み | |||
DeleteNotificationPermissions [アクセス許可のみ] | 特定の WorkDocs サイトの通知サブスクリプション API を呼び出すことができるプリンシパルを削除する権限を付与する | 書き込み | |||
DeleteNotificationSubscription | 指定された組織から指定されたサブスクリプションを削除する権限を付与する | 書き込み | |||
DeleteUser | Simple AD ディレクトリまたは Microsoft AD ディレクトリから指定されたユーザーを削除する権限を付与する | 書き込み | |||
DeregisterDirectory [アクセス許可のみ] | ディレクトリの登録を解除する権限を付与する | 書き込み | |||
DescribeActivities | 指定された期間内にユーザーアクティビティを取得する権限を付与する | リスト | |||
DescribeAvailableDirectories [アクセス許可のみ] | 使用可能なディレクトリを記述する権限を付与する | リスト | |||
DescribeComments | 指定されたドキュメントバージョンのすべてのコメントを一覧表示する権限を付与する | リスト | |||
DescribeDocumentVersions | 指定されたドキュメントのドキュメントバージョンを取得する権限を付与する | リスト | |||
DescribeFolderContents | 指定されたフォルダの内容について、ドキュメントやサブフォルダも含めて説明する権限を付与する | リスト | |||
DescribeGroups | ユーザーグループを記述する権限を付与する | リスト | |||
DescribeInstanceExports [アクセス許可のみ] | インスタンスのエクスポート履歴を記述する許可を付与する | リスト | |||
DescribeInstances [アクセス許可のみ] | インスタンスを記述する権限を付与する | リスト | |||
DescribeNotificationPermissions [アクセス許可のみ] | 特定の WorkDocs サイトの通知サブスクリプション API を呼び出すことができるプリンシパルを記述する権限を付与する | リスト | |||
DescribeNotificationSubscriptions | 指定された通知サブスクリプションを一覧表示する権限を付与する | リスト | |||
DescribeResourcePermissions | 指定されたリソースのアクセス許可の説明を表示する権限を付与する | リスト | |||
DescribeRootFolders | ルートフォルダを記述する権限を付与する | リスト | |||
DescribeUsers | 指定されたユーザーの説明を表示する許可を付与。すべてのユーザーについて説明することも、結果をフィルタリングすることもできます (例えば、ステータスまたは組織などで) | リスト | |||
DownloadDocumentVersion [アクセス許可のみ] | 指定されたドキュメントバージョンをダウンロードする権限を付与する | 読み取り | |||
GetCurrentUser | 現在のユーザーの詳細を取得する権限を付与する | 読み取り | |||
GetDocument | 指定されたドキュメントオブジェクトを取得する権限を付与する | 読み取り | |||
GetDocumentPath | リクエストされたドキュメントのパス情報 (ルートフォルダからの階層) を取得する権限を付与する | 読み取り | |||
GetDocumentVersion | 指定されたドキュメントのバージョンメタデータを取得する権限を付与する | 読み取り | |||
GetFolder | 指定されたフォルダのメタデータを取得する権限を付与する | 読み取り | |||
GetFolderPath | 指定されたフォルダのパス情報 (ルートフォルダからの階層) を取得する権限を付与する | 読み取り | |||
GetGroup [アクセス許可のみ] | 指定したグループの詳細を取得する権限を付与する | 読み取り | |||
GetResources | リソースのコレクションを取得する権限を付与する | 読み取り | |||
InitiateDocumentVersionUpload | 新しいドキュメントオブジェクトとバージョンオブジェクトを作成する権限を付与する | 書き込み | |||
RegisterDirectory [アクセス許可のみ] | ディレクトリを登録する権限を付与する | 書き込み | |||
RemoveAllResourcePermissions | 指定されたリソースからすべてのアクセス許可を削除する権限を付与する | 書き込み | |||
RemoveResourcePermission | 指定されたリソースから指定されたプリンシパルのアクセス許可を削除する権限を付与する | 書き込み | |||
RestoreDocumentVersions | 指定されたドキュメントのバージョンを復元する許可を付与 | 書き込み | |||
SearchResources | リソースのメタデータとコンテンツを検索する許可を付与 | リスト | |||
StartInstanceExport [アクセス許可のみ] | インスタンスのエクスポートを開始する許可を付与する | 書き込み | |||
UpdateDocument | 指定されたドキュメントの指定された属性を更新する権限を付与する | 書き込み | |||
UpdateDocumentVersion | ドキュメントバージョンのステータスを有効に変更する権限を付与する | 書き込み | |||
UpdateFolder | 指定されたフォルダの指定された属性を更新する権限を付与する | 書き込み | |||
UpdateInstanceAlias [アクセス許可のみ] | インスタンスエイリアスを更新する権限を付与する | 書き込み | |||
UpdateUser | 指定されたユーザーの指定された属性を更新するアクセス許可を付与し、Amazon WorkDocs サイトへの管理者権限を付与または取り消す | 書き込み | |||
UpdateUserAdministrativeSettings [アクセス許可のみ] | ユーザーの管理設定を更新する許可を付与 | 書き込み |
Amazon WorkDocs で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
organization |
arn:${Partition}:workdocs:${Region}:${Account}:organization/${ResourceId}
|
Amazon WorkDocs の条件キー
WorkDocs には、ポリシーステートメントの Condition
要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。