Amazon WorkSpaces のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon WorkSpaces のアクション、リソース、および条件キー

Amazon WorkSpaces (サービスプレフィックス: workspaces) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon WorkSpaces で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptAccountLinkInvitation WorkSpaces BYOLの同じ設定を共有するための他の AWS アカウントからの招待を受け入れるアクセス許可を付与します 書き込み
AssociateConnectionAlias 接続エイリアスをディレクトリに関連付けるためのアクセス許可を付与します 書き込み

connectionalias*

directoryid*

AssociateIpGroups IP アクセスコントロールグループをディレクトリに関連付けるためのアクセス許可を付与します 書き込み

directoryid*

workspaceipgroup*

AssociateWorkspaceApplication ワークスペースアプリケーションを a WorkSpace に関連付けるアクセス許可を付与します 書き込み

workspaceapplication*

workspaceid*

aws:ResourceTag/${TagKey}

AuthorizeIpRules IP アクセスコントロールグループにルールを追加するためのアクセス許可を付与します 書き込み

workspaceipgroup*

workspaces:UpdateRulesOfIpGroup

CopyWorkspaceImage WorkSpace イメージをコピーする許可を付与 書き込み

workspaceimage*

workspaces:DescribeWorkspaceImages

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAccountLinkInvitation WorkSpaces BYOLの同じ設定を共有するように他の AWS アカウントを招待するアクセス許可を付与します 書き込み
CreateConnectClientAddIn ディレクトリ内に Amazon Connect クライアントアドインを作成する許可を付与 書き込み

directoryid*

CreateConnectionAlias クロスリージョンリダイレクトで使用する接続エイリアスを作成するためのアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIpGroup IP アクセスコントロールグループを作成するためのアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStandbyWorkspaces 1 つ以上の Standby WorkSpaces を作成するアクセス許可を付与します 書き込み

directoryid*

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags WorkSpaces リソースのタグを作成するアクセス許可を付与します タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUpdatedWorkspaceImage updated WorkSpace イメージを作成するアクセス許可を付与します 書き込み

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceBundle WorkSpace バンドルを作成するアクセス許可を付与します 書き込み

workspacebundle*

workspaces:CreateTags

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceImage new WorkSpace イメージを作成するアクセス許可を付与します 書き込み

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaces 1 つ以上の WorkSpaces を作成するアクセス許可を付与します 書き込み

directoryid*

workspacebundle*

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspacesPool WorkSpaces プールを作成するアクセス許可を付与します 書き込み

directoryid*

workspacebundle*

workspacespoolid*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAccountLinkInvitation WorkSpaces BYOLWord の同じ設定を共有するための他の AWS アカウントへの招待を削除するアクセス許可を付与します 書き込み
DeleteClientBranding ディレクトリ内の AWS WorkSpaces クライアントのブランドデータを削除するアクセス許可を付与します 書き込み

directoryid*

DeleteConnectClientAddIn ディレクトリ内で設定された Amazon Connect クライアントアドインを削除する許可を付与 書き込み

directoryid*

DeleteConnectionAlias 接続エイリアスを削除するためのアクセス許可を付与します 書き込み

connectionalias*

DeleteIpGroup IP アクセスコントロールグループを削除するためのアクセス許可を付与します 書き込み

workspaceipgroup*

DeleteTags WorkSpaces リソースからタグを削除するアクセス許可を付与します タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteWorkspaceBundle WorkSpace バンドルを削除する許可を付与 書き込み

workspacebundle*

DeleteWorkspaceImage WorkSpace イメージを削除する許可を付与 書き込み

workspaceimage*

DeployWorkspaceApplications 保留中のすべてのワークスペースアプリケーションを a WorkSpace にデプロイする許可を付与 書き込み

workspaceid*

aws:ResourceTag/${TagKey}

DeregisterWorkspaceDirectory Amazon WorkSpaces でディレクトリを登録解除するアクセス許可を付与します 書き込み

directoryid*

DescribeAccount Bring Your Own License (BYOL) for WorkSpaces アカウントの設定を取得する許可を付与 読み取り
DescribeAccountModifications Bring Your Own License (BYOL) for WorkSpaces アカウントの設定に対する変更を取得する許可を付与 読み取り
DescribeApplicationAssociations a WorkSpace アプリケーションに関連付けられたリソースに関する情報を取得する許可を付与 リスト

workspaceapplication*

aws:ResourceTag/${TagKey}

DescribeApplications WorkSpace アプリケーションに関する情報を取得する許可を付与 リスト
DescribeBundleAssociations WorkSpace バンドルに関連付けられたリソースに関する情報を取得するアクセス許可を付与します リスト

workspacebundle*

aws:ResourceTag/${TagKey}

DescribeClientBranding ディレクトリ内の AWS WorkSpaces クライアントのブランドデータを取得するアクセス許可を付与します 読み取り

directoryid*

DescribeClientProperties WorkSpaces クライアントに関する情報を取得する許可を付与 リスト

directoryid*

DescribeConnectClientAddIns 作成された Amazon Connect クライアントアドインのリストを取得する許可を付与 リスト

directoryid*

DescribeConnectionAliasPermissions 接続エイリアスの所有者が接続エイリアスのために他の AWS アカウントに付与したアクセス許可を取得するアクセス許可を付与します 読み取り

connectionalias*

DescribeConnectionAliases クロスリージョンリダイレクトに使用される接続エイリアスを記述するリストを取得するためのアクセス許可を付与します 読み取り
DescribeImageAssociations a WorkSpace イメージに関連付けられたリソースに関する情報を取得する許可を付与 リスト

workspaceimage*

aws:ResourceTag/${TagKey}

DescribeIpGroups IP アクセスコントロールグループに関する情報を取得するためのアクセス許可を付与します 読み取り

workspaceipgroup*

DescribeTags WorkSpaces リソースのタグを記述するアクセス許可を付与します 読み取り
DescribeWorkspaceAssociations a WorkSpace に関連付けられたリソースに関する情報を取得する許可を付与 リスト

workspaceid*

aws:ResourceTag/${TagKey}

DescribeWorkspaceBundles WorkSpace バンドルに関する情報を取得する許可を付与 リスト
DescribeWorkspaceDirectories WorkSpaces に登録されているディレクトリに関する情報を取得する許可を付与 読み取り
DescribeWorkspaceImagePermissions WorkSpace イメージのアクセス許可に関する情報を取得するアクセス許可を付与します 読み取り

workspaceimage*

DescribeWorkspaceImages WorkSpace イメージに関する情報を取得する許可を付与 リスト
DescribeWorkspaceSnapshots WorkSpace スナップショットに関する情報を取得する許可を付与 リスト

workspaceid*

DescribeWorkspaces WorkSpaces に関する情報を取得する許可を付与 リスト
DescribeWorkspacesConnectionStatus WorkSpaces の接続ステータスを取得する許可を付与 読み取り
DescribeWorkspacesPoolSessions WorkSpaces プールのセッションに関する情報を取得する許可を付与 リスト

workspacespoolid*

DescribeWorkspacesPools WorkSpaces プールに関する情報を取得するアクセス許可を付与します リスト
DisassociateConnectionAlias ディレクトリから接続エイリアスの関連付けを解除するためのアクセス許可を付与します 書き込み

connectionalias*

DisassociateIpGroups ディレクトリから IP アクセスコントロールグループの関連付けを解除するためのアクセス許可を付与します 書き込み

directoryid*

workspaceipgroup*

DisassociateWorkspaceApplication ワークスペースアプリケーションの a WorkSpace との関連付けを解除するアクセス許可を付与します 書き込み

workspaceapplication*

workspaceid*

aws:ResourceTag/${TagKey}

WorkSpaces BYOLWord の設定を共有するために、別の AWS アカウントとのリンクを取得するアクセス許可を付与します 読み取り
ImportClientBranding ディレクトリ内に AWS WorkSpaces Client のブランドデータをインポートするアクセス許可を付与します 書き込み

directoryid*

ImportWorkspaceImage Bring Your Own License (BYOL) イメージを Amazon WorkSpaces にインポートする許可を付与 書き込み

ec2:DescribeImages

ec2:ModifyImageAttribute

WorkSpaces BYOLWord の設定を共有する AWS Account (s) とのリンクを取得するアクセス許可を付与します リスト
ListAvailableManagementCidrRanges Bring Your Own License (CIDR) forWord アカウントを有効にするために使用可能な BYOL WorkSpaces 範囲を一覧表示するアクセス許可を付与します リスト
MigrateWorkspace WorkSpaces を移行する許可を付与 書き込み

workspacebundle*

workspaceid*

ModifyAccount Bring Your Own License (BYOL) for WorkSpaces アカウントの設定を変更する許可を付与 書き込み
ModifyCertificateBasedAuthProperties ディレクトリの証明書に基づいた認可プロパティを変更する許可を付与 書き込み

directoryid*

ModifyClientProperties WorkSpaces クライアントのプロパティを変更するアクセス許可を付与します 書き込み

directoryid*

ModifySamlProperties ディレクトリの SAML プロパティを変更する許可を付与 書き込み

directoryid*

ModifySelfservicePermissions ユーザーのセルフサービス WorkSpace 管理機能を変更するアクセス許可を付与します 権限の管理

directoryid*

ModifyStreamingProperties ストリーミングプロパティを変更する許可を付与する 書き込み

directoryid*

ModifyWorkspaceAccessProperties ユーザーが自分の WorkSpaces にアクセスするために使用できるデバイスとオペレーティングシステムを指定するアクセス許可を付与します 書き込み

directoryid*

ModifyWorkspaceCreationProperties create WorkSpaces に使用されるデフォルトのプロパティを変更するアクセス許可を付与します 書き込み

directoryid*

ModifyWorkspaceProperties 実行モードや WorkSpace 期間など、 AutoStop プロパティを変更するアクセス許可を付与します 書き込み

workspaceid*

ModifyWorkspaceState WorkSpaces の状態を変更するアクセス許可を付与します 書き込み

workspaceid*

RebootWorkspaces reboot WorkSpaces のアクセス許可を付与します 書き込み

workspaceid*

RebuildWorkspaces WorkSpaces を再構築するアクセス許可を付与します 書き込み

workspaceid*

RegisterWorkspaceDirectory Amazon WorkSpaces で使用するディレクトリを登録する許可を付与 書き込み

directoryid*

aws:RequestTag/${TagKey}

aws:TagKeys

RejectAccountLinkInvitation BYOLWord WorkSpaces の同じ設定を共有する他の AWS アカウントからの招待を拒否するアクセス許可を付与します 書き込み
RestoreWorkspace WorkSpaces を復元するアクセス許可を付与します 書き込み

workspaceid*

RevokeIpRules IP アクセスコントロールグループからルールを削除するためのアクセス許可を付与します 書き込み

workspaceipgroup*

workspaces:UpdateRulesOfIpGroup

StartWorkspaces start AutoStop WorkSpacesのアクセス許可を付与します 書き込み

workspaceid*

StartWorkspacesPool WorkSpaces プールを開始する許可を付与 書き込み

workspacespoolid*

StopWorkspaces AutoStop WorkSpacesWord を停止する許可を付与 書き込み

workspaceid*

StopWorkspacesPool WorkSpaces プールを停止するアクセス許可を付与します 書き込み

workspacespoolid*

Stream 既存の認証情報を使用してサインインし、ワークスペースをストリーミングするアクセス許可をフェデレーションユーザーに付与 書き込み

directoryid*

workspaces:userId

TerminateWorkspaces WorkSpaces を終了する許可を付与 書き込み

workspaceid*

TerminateWorkspacesPool WorkSpaces プールを終了するアクセス許可を付与します 書き込み

workspacespoolid*

TerminateWorkspacesPoolSession WorkSpaces プールセッションを終了する許可を付与 書き込み
UpdateConnectClientAddIn Amazon Connect クライアントアドインを更新する許可を付与 このアクションを使用して、Amazon Connect クライアントアドインの名前とエンドポイントの URL を更新します。 書き込み

directoryid*

UpdateConnectionAliasPermission 接続エイリアスを他のアカウントと共有または共有解除するためのアクセス許可を付与します Permissions management

connectionalias*

UpdateRulesOfIpGroup IP アクセスコントロールグループのルールを置き換えるためのアクセス許可を付与します 書き込み

workspaceipgroup*

workspaces:AuthorizeIpRules

workspaces:RevokeIpRules

UpdateWorkspaceBundle WorkSpace バンドルで使用される WorkSpace イメージを更新する許可を付与 書き込み

workspacebundle*

workspaceimage*

UpdateWorkspaceImagePermission 他のアカウントがイメージをコピーするアクセス許可を持っているかどうかを指定して、他のアカウントと WorkSpace イメージを共有または共有解除するアクセス許可を付与します 権限の管理

workspaceimage*

UpdateWorkspacesPool WorkSpaces プールを更新する許可を付与 書き込み

workspacespoolid*

Amazon WorkSpaces で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
directoryid arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

workspacebundle arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}

aws:ResourceTag/${TagKey}

workspaceid arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}

aws:ResourceTag/${TagKey}

workspaceimage arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}

aws:ResourceTag/${TagKey}

workspaceipgroup arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}

aws:ResourceTag/${TagKey}

workspacespoolid arn:${Partition}:workspaces:${Region}:${Account}:workspacespool/${PoolId}

aws:ResourceTag/${TagKey}

connectionalias arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}

aws:ResourceTag/${TagKey}

workspaceapplication arn:${Partition}:workspaces:${Region}:${Account}:workspaceapplication/${WorkSpaceApplicationId}

aws:ResourceTag/${TagKey}

Amazon WorkSpaces の条件キー

Amazon WorkSpaces では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします ArrayOfString
workspaces:userId Workspaces ユーザーの ID によってアクセスをフィルタリング 文字列