AWS Audit Manager のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Audit Manager のアクション、リソース、および条件キー

AWS Audit Manager (サービスプレフィックス: auditmanager) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Audit Manager で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateAssessmentReportEvidenceFolder AWS Audit Manager で証拠フォルダを評価レポートに関連付ける権限を付与します 書き込み

assessment*

BatchAssociateAssessmentReportEvidence AWS Audit Manager 内の評価レポートに証拠のリストを関連付ける権限を付与します 書き込み

assessment*

BatchCreateDelegationByAssessment AWS Audit Manager 内で評価の委任を作成する権限を付与します 書き込み

assessment*

BatchDeleteDelegationByAssessment AWS Audit Manager 内で評価の委任を削除する権限を付与します 書き込み

assessment*

BatchDisassociateAssessmentReportEvidence AWS Audit Manager 内の評価から証拠のリストの関連付けを解除する権限を付与します 書き込み

assessment*

BatchImportEvidenceToAssessmentControl AWS Audit Manager 内の評価コントロールに証拠のリストをインポートする権限を付与します 書き込み

assessmentControlSet*

CreateAssessment AWS Audit Manager 内で使用する評価を作成する権限を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssessmentFramework AWS Audit Manager 内で使用できるようにフレームワークを作成する権限を付与します 書き込み
CreateAssessmentReport AWS Audit Manager 内で評価レポートを作成する権限を付与します 書き込み

assessment*

CreateControl AWS Audit Manager 内で使用するコントロールを作成する権限を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAssessment AWS Audit Manager 内で評価を削除する権限を付与します 書き込み

assessment*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAssessmentFramework AWS Audit Manager 内で評価フレームワークを削除する権限を付与します 書き込み

assessmentFramework*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAssessmentReport AWS Audit Manager 内で評価レポートを削除する権限を付与します 書き込み

assessment*

DeleteControl AWS Audit Manager 内でコントロールを削除する権限を付与します 書き込み

control*

aws:RequestTag/${TagKey}

aws:TagKeys

DeregisterAccount AWS Audit Manager 内でアカウントの登録を解除する権限を付与します 書き込み
DeregisterOrganizationAdminAccount AWS Audit Manager 内で委任された管理者アカウントの委任を解除する権限を付与します 書き込み
DisassociateAssessmentReportEvidenceFolder AWS Audit Manager の評価レポートから証拠フォルダの関連付けを解除する権限を付与します 書き込み

assessment*

GetAccountStatus AWS Audit Manager 内でアカウントのステータスを取得する権限を付与します Read
GetAssessment AWS Audit Manager 内で作成された評価を取得する権限を付与します Read

assessment*

GetAssessmentFramework AWS Audit Manager 内の評価フレームワークを取得する権限を付与します Read

assessmentFramework*

GetAssessmentReportUrl AWS Audit Manager 内の評価レポートの URL を取得する権限を付与します Read

assessment*

GetChangeLogs AWS Audit Manager 内の評価レポートの変更ログを取得する権限を付与します Read

assessment*

GetControl AWS Audit Manager 内でコントロールを取得する権限を付与します Read

control*

GetDelegations AWS Audit Manager 内のすべての委任を取得する権限を付与します リスト
GetEvidence AWS Audit Manager から証拠を取得する権限を付与します Read

assessmentControlSet*

GetEvidenceByEvidenceFolder AWS Audit Manager 内の証拠フォルダからすべての証拠を取得する権限を付与します Read

assessmentControlSet*

GetEvidenceFolder AWS Audit Manager から証拠フォルダを取得する権限を付与します Read

assessmentControlSet*

GetEvidenceFoldersByAssessment AWS Audit Manager 内の評価から証拠フォルダを取得する権限を付与します Read

assessment*

GetEvidenceFoldersByAssessmentControl AWS Audit Manager 内の評価コントロールから証拠フォルダを取得する権限を付与します Read

assessmentControlSet*

GetOrganizationAdminAccount AWS Audit Manager 内で委任された管理者アカウントを取得する権限を付与します Read
GetServicesInScope AWS Audit Manager で評価のスコープ内にあるサービスを取得する権限を付与します Read
GetSettings AWS Audit Manager 内で構成した設定を取得する権限を付与します Read
ListAssessmentFrameworks AWS Audit Manager 内のすべての評価フレームワークを一覧表示する権限を付与します リスト
ListAssessmentReports AWS Audit Manager 内のすべての評価レポートを一覧表示する権限を付与します リスト
ListAssessments AWS Audit Manager 内のすべての評価を一覧表示する権限を付与します リスト
ListControls AWS Audit Manager 内のすべてのコントロールを一覧表示する権限を付与します リスト
ListKeywordsForDataSource AWS Audit Manager 内のすべてのデータソースを一覧表示する権限を付与します リスト
ListNotifications AWS Audit Manager 内のすべての通知を一覧表示する権限を付与します リスト
ListTagsForResource AWS Audit Manager リソースのタグを一覧表示する権限を付与します リスト

assessment

control

RegisterAccount AWS Audit Manager でアカウントを登録する権限を付与します 書き込み
RegisterOrganizationAdminAccount AWS Audit Manager 内で委任された管理者として組織内のアカウントを登録する権限を付与します 書き込み
TagResource AWS Audit Manager リソースにタグを付ける権限を付与します タグ付け

assessment

control

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource AWS Audit Manager リソースのタグを解除する権限を付与します タグ付け

assessment

control

aws:TagKeys

UpdateAssessment AWS Audit Manager 内で評価を更新する権限を付与します 書き込み

assessment*

UpdateAssessmentControl AWS Audit Manager 内で評価コントロールを更新する権限を付与します 書き込み

assessmentControlSet*

UpdateAssessmentControlSetStatus AWS Audit Manager 内で設定した評価コントロールのステータスを更新する権限を付与します 書き込み

assessmentControlSet*

UpdateAssessmentFramework AWS Audit Manager 内で評価フレームワークを更新する権限を付与します 書き込み

assessmentFramework*

UpdateAssessmentStatus AWS Audit Manager 内で評価のステータスを更新する権限を付与します 書き込み

assessment*

UpdateControl AWS Audit Manager 内でコントロールを更新する権限を付与します 書き込み

control*

UpdateSettings AWS Audit Manager 内の設定を更新する権限を付与します 書き込み
ValidateAssessmentReportIntegrity AWS Audit Manager 内の評価レポートの整合性を検証する権限を付与します Read

AWS Audit Manager で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
assessment arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${assessmentId}
assessmentFramework arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${assessmentFrameworkId}
assessmentControlSet arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${assessmentId}/controlSet/{controlSetId}
control arn:${Partition}:auditmanager:${Region}:${Account}:control/${controlId}

aws:ResourceTag/${TagKey}

AWS Audit Manager の条件キー

AWS Audit Manager は、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 文字列