AWS AppSync のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS AppSync のアクション、リソース、および条件キー

AWS AppSync (サービスプレフィックス: appsync) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS AppSync で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CreateApiCache AppSync で API キャッシュを作成するためのアクセス権限を付与します 書き込み
CreateApiKey API を実行しているクライアントに配布できる一意のキーを作成するためのアクセス権限を付与します 書き込み
CreateDataSource DataSource オブジェクトを作成するためのアクセス権限を付与します 書き込み
CreateFunction 新しい Function オブジェクトを作成するためのアクセス権限を付与します 書き込み
CreateGraphqlApi 最上位の AppSync リソースである GraphqlApi オブジェクトを作成するためのアクセス権限を付与します タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

CreateResolver Resolver オブジェクトを作成するためのアクセス権限を付与します。リゾルバーは、受信リクエストをデータソースが理解できる形式に変換し、データソースのレスポンスを GraphQL に変換します 書き込み
CreateType Type オブジェクトを作成するためのアクセス権限を付与します 書き込み
DeleteApiCache AppSync で API キャッシュを削除するためのアクセス権限を付与します 書き込み
DeleteApiKey API キーを削除するためのアクセス権限を付与します 書き込み
DeleteDataSource DataSource オブジェクトを削除するためのアクセス権限を付与します 書き込み
DeleteFunction Function オブジェクトを削除するためのアクセス権限を付与します 書き込み
DeleteGraphqlApi GraphqlApi オブジェクトを削除するためのアクセス権限を付与します。これにより、その API より下の AppSync リソースもすべてクリーンアップされます 書き込み

graphqlapi*

aws:ResourceTag/${TagKey}

DeleteResolver Resolver オブジェクトを削除するためのアクセス権限を付与します 書き込み
DeleteType Type オブジェクトを削除するためのアクセス権限を付与します 書き込み
FlushApiCache AppSync で API キャッシュをフラッシュするためのアクセス権限を付与します 書き込み
GetApiCache AppSync の API キャッシュに関する情報を読み取るためのアクセス権限を付与します Read
GetDataSource DataSource オブジェクトを取得するためのアクセス権限を付与します Read
GetFunction Function オブジェクトを取得するためのアクセス権限を付与します Read
GetGraphqlApi GraphqlApi オブジェクトを取得するためのアクセス権限を付与します Read

graphqlapi*

aws:ResourceTag/${TagKey}

GetIntrospectionSchema GraphQL API のイントロスペクションスキーマを取得するためのアクセス権限を付与します Read
GetResolver Resolver オブジェクトを取得するためのアクセス権限を付与します Read
GetSchemaCreationStatus スキーマ作成オペレーションの現在のステータスを取得するためのアクセス権限を付与します Read
GetType Type オブジェクトを取得するためのアクセス権限を付与します Read
GraphQL GraphQL クエリを GraphQL API に送信するためのアクセス権限を付与します 書き込み

field*

graphqlapi*

ListApiKeys 特定の API の API キーを一覧表示するためのアクセス権限を付与します リスト
ListDataSources 特定の API のデータソースを一覧表示するためのアクセス権限を付与します リスト
ListFunctions 特定の API の関数を一覧表示するためのアクセス権限を付与します リスト
ListGraphqlApis GraphQL API を一覧表示するためのアクセス権限を付与します リスト
ListResolvers 特定の API およびタイプのリゾルバーを一覧表示するアクセス権限を付与します リスト
ListResolversByFunction 特定の関数に関連付けられたリゾルバーを一覧表示するためのアクセス権限を付与します リスト
ListTagsForResource リソースのタグを一覧表示するためのアクセス権限を付与します Read

graphqlapi

aws:ResourceTag/${TagKey}

ListTypes 特定の API のタイプを一覧表示するためのアクセス権限を付与します リスト
SetWebACL ウェブ ACL を設定するためのアクセス権限を付与します 書き込み
StartSchemaCreation GraphQL API に新しいスキーマを追加するためのアクセス権限を付与しますこのオペレーションは、非同期です。いつ完了したかを GetSchemaCreationStatus で表示することができます 書き込み
TagResource リソースにタグを付けるためのアクセス権限を付与します タグ付け

graphqlapi

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

UntagResource リソースのタグを解除するためのアクセス権限を付与します タグ付け

graphqlapi

aws:TagKeys

UpdateApiCache AppSync で API キャッシュを更新するためのアクセス権限を付与します 書き込み
UpdateApiKey 特定の API の API キーを更新するためのアクセス権限を付与します 書き込み
UpdateDataSource DataSource オブジェクトを更新するためのアクセス権限を付与します 書き込み
UpdateFunction 既存の Function オブジェクトを更新するためのアクセス権限を付与します 書き込み
UpdateGraphqlApi GraphqlApi オブジェクトを更新するためのアクセス権限を付与します 書き込み

graphqlapi*

iam:CreateServiceLinkedRole

aws:ResourceTag/${TagKey}

UpdateResolver Resolver オブジェクトを更新するためのアクセス権限を付与します 書き込み
UpdateType Type オブジェクトを更新するためのアクセス権限を付与します 書き込み

AWS AppSync で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
datasource arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/datasources/${DatasourceName}
graphqlapi arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}

aws:ResourceTag/${TagKey}

field arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}/fields/${FieldName}
type arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}
function arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/functions/${FunctionId}

AWS AppSync の条件キー

AWS AppSync では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列