翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Backup のアクション、リソース、および条件キー
AWS Backup (サービスプレフィックス: backup
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用できる API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法について説明します。
AWS Backup で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
CancelLegalHold | リーガルホールドをキャンセルする許可を付与 | 書き込み | |||
CopyFromBackupVault[アクセス許可のみ] | バックアップボールトからコピーするアクセス許可を付与 | 書き込み | |||
CopyIntoBackupVault[アクセス許可のみ] | バックアップボールトにコピーするアクセス許可を付与 | 書き込み | |||
CreateBackupPlan | 新しいバックアッププランを作成するアクセス許可を付与 | 書き込み | |||
CreateBackupSelection | バックアッププランで新しいリソース割り当てを作成するアクセス許可を付与 | 書き込み |
iam:PassRole |
||
CreateBackupVault | 新しいバックアップボールトを作成するアクセス許可を付与 | 書き込み | |||
CreateFramework | 新しいフレームワークを作成する許可を付与 | 書き込み | |||
CreateLegalHold | 新しいリーガルホールドを作成する許可を付与 | 書き込み | |||
CreateLogicallyAirGappedBackupVault | バックアップが保存される論理コンテナである、論理的にエアギャップされた新しいバックアップボールトを作成する許可を付与 | 書き込み | |||
CreateReportPlan | 新しいレポートプランを作成する許可を付与 | 書き込み | |||
CreateRestoreTestingPlan | 新しい復元テストプランを作成するためのアクセス許可を付与 | 書き込み | |||
CreateRestoreTestingSelection | 復元テストプランで新しいリソース割り当てを作成するためのアクセス許可を付与 | 書き込み |
iam:PassRole |
||
DeleteBackupPlan | バックアッププランを削除するアクセス許可を付与 | 書き込み | |||
DeleteBackupSelection | バックアッププランからリソース割り当てを削除するアクセス許可を付与 | 書き込み | |||
DeleteBackupVault | バックアップボールトを削除するアクセス許可を付与 | 書き込み | |||
DeleteBackupVaultAccessPolicy | バックアップボールトアクセスポリシーを削除するアクセス許可を付与 | 権限の管理 | |||
DeleteBackupVaultLockConfiguration | バックアップボールトからロック設定を削除するためのアクセス許可を付与 | 書き込み | |||
DeleteBackupVaultNotifications | バックアップボールトから通知を削除するためのアクセス許可を付与 | 書き込み | |||
DeleteBackupVaultSharingPolicy[アクセス許可のみ] | バックアップボールト共有ポリシーを削除する許可を付与 | 権限の管理 | |||
DeleteFramework | フレームワークを削除する許可を付与 | 書き込み | |||
DeleteRecoveryPoint | バックアップボールトからリカバリポイントを削除するアクセス許可を付与 | 書き込み | |||
DeleteReportPlan | レポートプランを削除する許可を付与 | 書き込み | |||
DeleteRestoreTestingPlan | 復元テストプランを削除するためのアクセス許可を付与 | 書き込み | |||
DeleteRestoreTestingSelection | 復元テストプランからリソース割り当てを削除するためのアクセス許可を付与 | 書き込み | |||
DescribeBackupJob | バックアップジョブを記述するアクセス許可を付与 | 読み込み | |||
DescribeBackupVault | 指定された名前の新しいバックアップボールトを記述するアクセス許可を付与 | 読み込み | |||
DescribeCopyJob | コピージョブを記述するアクセス許可を付与 | 読み込み | |||
DescribeFramework | 指定された名前のフレームワークを記述する許可を付与 | 読み込み | |||
DescribeGlobalSettings | グローバル設定を記述するアクセス許可を付与 | 読み込み | |||
DescribeProtectedResource | 保護されたリソースを記述するアクセス許可を付与 | 読み込み | |||
DescribeRecoveryPoint | リカバリポイントを記述するアクセス許可を付与 | 読み込み | |||
DescribeRegionSettings | リージョン設定を記述するアクセス許可を付与 | 読み込み | |||
DescribeReportJob | レポートジョブを記述する許可を付与 | 読み込み | |||
DescribeReportPlan | 指定された名前のレポートプランを記述する許可を付与 | 読み込み | |||
DescribeRestoreJob | 復元ジョブを記述するアクセス許可を付与 | 読み込み | |||
DisassociateRecoveryPoint | バックアップボールトからリカバリポイントの関連付けを解除するアクセス許可を付与 | 書き込み | |||
DisassociateRecoveryPointFromParent | 親からリカバリポイントの関連付けを解除する許可を付与 | 書き込み | |||
ExportBackupPlanTemplate | バックアッププランを JSON としてエクスポートする許可を付与 | 読み取り | |||
GetBackupPlan | バックアッププランを取得するアクセス許可を付与 | 読み取り | |||
GetBackupPlanFromJSON | JSON をバックアッププランに変換する許可を付与 | 読み取り | |||
GetBackupPlanFromTemplate | テンプレートをバックアッププランに変換するアクセス許可を付与 | 読み込み | |||
GetBackupSelection | バックアッププランのリソース割り当てを取得するアクセス許可を付与 | 読み込み | |||
GetBackupVaultAccessPolicy | バックアップボールトアクセスポリシーを取得するアクセス許可を付与 | 読み込み | |||
GetBackupVaultNotifications | バックアップボールト通知を取得するアクセス許可を付与 | 読み取り | |||
GetBackupVaultSharingPolicy[アクセス許可のみ] | バックアップボールト共有ポリシーを取得する許可を付与 | 読み取り | |||
GetLegalHold | リーガルホールドを取得する許可を付与 | 読み取り | |||
GetRecoveryPointRestoreMetadata | リカバリポイント復元メタデータを取得するアクセス許可を付与 | 読み取り | |||
GetRestoreJobMetadata | 復元ジョブに関連付けられた復元メタデータを取得するためのアクセス許可を付与 | 読み取り | |||
GetRestoreTestingInferredMetadata | 復元テストによって生成された推測されるメタデータを取得するためのアクセス許可を付与 | 読み取り | |||
GetRestoreTestingPlan | 復元テストプランを取得するためのアクセス許可を付与 | 読み取り | |||
GetRestoreTestingSelection | 復元テストプランのリソース割り当てを取得するためのアクセス許可を付与 | 読み取り | |||
GetSupportedResourceTypes | サポートされているリソースタイプを取得するアクセス許可を付与 | 読み取り | |||
ListBackupJobSummaries | バックアップジョブの概要を一覧表示する許可を付与 | リスト | |||
ListBackupJobs | バックアップジョブを一覧表示するアクセス許可を付与 | リスト | |||
ListBackupPlanTemplates | AWS Backup が提供するバックアッププランテンプレートを一覧表示するアクセス許可を付与します | リスト | |||
ListBackupPlanVersions | バックアッププランのバージョンを一覧表示するアクセス許可を付与 | リスト | |||
ListBackupPlans | バックアッププランを一覧表示する許可を付与 | リスト | |||
ListBackupSelections | 特定のバックアッププランのリソース割り当てを一覧表示するアクセス許可を付与 | リスト | |||
ListBackupVaults | バックアップボールトを一覧表示する許可を付与 | リスト | |||
ListCopyJobSummaries | コピージョブの概要を一覧表示する許可を付与 | リスト | |||
ListCopyJobs | コピージョブを一覧表示するアクセス許可を付与 | リスト | |||
ListFrameworks | フレームワークを一覧表示する許可を付与 | リスト | |||
ListLegalHolds | リーガルホールド一覧表示する許可を付与 | リスト | |||
ListProtectedResources | AWS Backup で保護されたリソースを一覧表示する許可を付与 | リスト | |||
ListProtectedResourcesByBackupVault | バックアップボールト内の保護されたリソースを一覧表示する許可を付与 | リスト | |||
ListRecoveryPointsByBackupVault | バックアップボールト内のリカバリポイントを一覧表示するアクセス許可を付与 | リスト | |||
ListRecoveryPointsByLegalHold | リーガルホールドによるリカバリポイントを一覧表示する許可を付与 | リスト | |||
ListRecoveryPointsByResource | リソースのリカバリポイントを一覧表示するアクセス許可を付与 | リスト | |||
ListReportJobs | レポートジョブを一覧表示するための許可を付与 | リスト | |||
ListReportPlans | レポートプランを一覧表示するための許可を付与 | リスト | |||
ListRestoreJobSummaries | 復元ジョブの概要を一覧表示する許可を付与 | リスト | |||
ListRestoreJobs | 復元ジョブを一覧表示するためのアクセス許可を付与 | リスト | |||
ListRestoreJobsByProtectedResource | 保護されたリソースの復元ジョブを一覧表示するためのアクセス許可を付与 | リスト | |||
ListRestoreTestingPlans | 復元テストプランを一覧表示するためのアクセス許可を付与 | リスト | |||
ListRestoreTestingSelections | 特定の復元テストプランのリソース割り当てを一覧表示するためのアクセス許可を付与 | リスト | |||
ListTags | リソースのタグを一覧表示する許可を付与 | 読み込み | |||
PutBackupVaultAccessPolicy | バックアップボールトにアクセスポリシーを追加するアクセス許可を付与 | 権限の管理 | |||
PutBackupVaultLockConfiguration | バックアップボールトにロック設定を追加するためのアクセス許可を付与 | 書き込み | |||
PutBackupVaultNotifications | SNS トピックをバックアップボールトに追加する許可を付与 | 書き込み | |||
PutBackupVaultSharingPolicy[アクセス許可のみ] | バックアップボールトに共有ポリシーを追加する許可を付与 | 権限の管理 | |||
PutRestoreValidationResult | 復元の検証結果を入力するためのアクセス許可を付与 | 書き込み | |||
StartBackupJob | 新しいバックアップジョブを開始するアクセス許可を付与 | 書き込み |
iam:PassRole |
||
StartCopyJob | バックアップ元ボールトからバックアップ先ボールトにバックアップデータをコピーするアクセス許可を付与 | 書き込み |
iam:PassRole |
||
StartReportJob | 新しいレポートジョブを開始するための許可を付与 | 書き込み | |||
StartRestoreJob | 新しい復元ジョブを開始するアクセス許可を付与 | 書き込み |
iam:PassRole |
||
StopBackupJob | バックアップジョブを停止するアクセス許可を付与 | 書き込み | |||
TagResource | リソースにタグを付けるアクセス許可を付与 | タグ付け | |||
UntagResource | リソースのタグを解除する許可を付与 | タグ付け | |||
UpdateBackupPlan | バックアッププランを更新するアクセス許可を付与 | 書き込み | |||
UpdateFramework | フレームワークを更新するための許可を付与 | 書き込み | |||
UpdateGlobalSettings | AWS アカウントの現在のグローバル設定を更新する許可を付与 | 書き込み | |||
UpdateRecoveryPointLifecycle | リカバリポイントのライフサイクルを更新するアクセス許可を付与 | 書き込み | |||
UpdateRegionSettings | リージョンの現在のサービスオプトイン設定を更新するアクセス許可を付与 | 書き込み | |||
UpdateReportPlan | レポートプランを更新するための許可を付与 | 書き込み | |||
UpdateRestoreTestingPlan | 復元テストプランを更新するためのアクセス許可を付与 | 書き込み | |||
UpdateRestoreTestingSelection | 復元テストプランで新しいリソース割り当てを更新するためのアクセス許可を付与 | 書き込み |
iam:PassRole |
AWS Backup で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
backupVault |
arn:${Partition}:backup:${Region}:${Account}:backup-vault:${BackupVaultName}
|
|
backupPlan |
arn:${Partition}:backup:${Region}:${Account}:backup-plan:${BackupPlanId}
|
|
recoveryPoint |
arn:${Partition}:${Vendor}:${Region}:*:${ResourceType}:${RecoveryPointId}
|
|
framework |
arn:${Partition}:backup:${Region}:${Account}:framework:${FrameworkName}-${FrameworkId}
|
|
reportPlan |
arn:${Partition}:backup:${Region}:${Account}:report-plan:${ReportPlanName}-${ReportPlanId}
|
|
legalHold |
arn:${Partition}:backup:${Region}:${Account}:legal-hold:${LegalHoldId}
|
|
restoreTestingPlan |
arn:${Partition}:backup:${Region}:${Account}:restore-testing-plan:${RestoreTestingPlanName}-${RestoreTestingPlanId}
|
AWS Backup の条件キー
AWS Backup では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | タイプ |
---|---|---|
aws:RequestTag/${TagKey} | 各タグの許可された値のセットでアクセスをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内の必須タグの存在でアクセスをフィルタリングします | ArrayOfString |
backup:ChangeableForDays | ChangeableForDays パラメータの値でアクセスをフィルタリングします | 数値 |
backup:CopyTargetOrgPaths | 組織単位でアクセスをフィルタリングします | ArrayOfString |
backup:CopyTargets | バックアップボールトのARNでアクセスをフィルタリングします | ArrayOfARN |
backup:FrameworkArns | Framework ARNs でアクセスをフィルタリングします | ArrayOfARN |
backup:MaxRetentionDays | MaxRetentionDays パラメータの値でアクセスをフィルタリングします | 数値 |
backup:MinRetentionDays | MinRetentionDays パラメータの値でアクセスをフィルタリングします | 数値 |