AWS Backup のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Backup のアクション、リソース、および条件キー

AWS Backup (サービスプレフィックス: backup) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Backup で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CancelLegalHold リーガルホールドをキャンセルする許可を付与 書き込み

legalHold*

CopyFromBackupVault[アクセス許可のみ] バックアップボールトからコピーするアクセス許可を付与 書き込み

recoveryPoint*

backup:CopyTargets

backup:CopyTargetOrgPaths

CopyIntoBackupVault[アクセス許可のみ] バックアップボールトにコピーするアクセス許可を付与 書き込み

backupVault*

aws:RequestTag/${TagKey}

CreateBackupPlan 新しいバックアッププランを作成するアクセス許可を付与 書き込み

backupPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBackupSelection バックアッププランで新しいリソース割り当てを作成するアクセス許可を付与 書き込み

backupPlan*

iam:PassRole

CreateBackupVault 新しいバックアップボールトを作成するアクセス許可を付与 書き込み

backupVault*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFramework 新しいフレームワークを作成する許可を付与 書き込み

framework*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLegalHold 新しいリーガルホールドを作成する許可を付与 書き込み

legalHold*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLogicallyAirGappedBackupVault バックアップが保存される論理コンテナである、論理的にエアギャップされた新しいバックアップボールトを作成する許可を付与 書き込み

backupVault*

aws:RequestTag/${TagKey}

aws:TagKeys

backup:MinRetentionDays

backup:MaxRetentionDays

CreateReportPlan 新しいレポートプランを作成する許可を付与 書き込み

reportPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

backup:FrameworkArns

CreateRestoreTestingPlan 新しい復元テストプランを作成するためのアクセス許可を付与 書き込み

restoreTestingPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRestoreTestingSelection 復元テストプランで新しいリソース割り当てを作成するためのアクセス許可を付与 書き込み

restoreTestingPlan*

iam:PassRole

DeleteBackupPlan バックアッププランを削除するアクセス許可を付与 書き込み

backupPlan*

DeleteBackupSelection バックアッププランからリソース割り当てを削除するアクセス許可を付与 書き込み

backupPlan*

DeleteBackupVault バックアップボールトを削除するアクセス許可を付与 書き込み

backupVault*

DeleteBackupVaultAccessPolicy バックアップボールトアクセスポリシーを削除するアクセス許可を付与 権限の管理

backupVault*

DeleteBackupVaultLockConfiguration バックアップボールトからロック設定を削除するためのアクセス許可を付与 書き込み

backupVault*

DeleteBackupVaultNotifications バックアップボールトから通知を削除するためのアクセス許可を付与 書き込み

backupVault*

DeleteBackupVaultSharingPolicy[アクセス許可のみ] バックアップボールト共有ポリシーを削除する許可を付与 権限の管理

backupVault*

DeleteFramework フレームワークを削除する許可を付与 書き込み

framework*

DeleteRecoveryPoint バックアップボールトからリカバリポイントを削除するアクセス許可を付与 書き込み

recoveryPoint*

DeleteReportPlan レポートプランを削除する許可を付与 書き込み

reportPlan*

DeleteRestoreTestingPlan 復元テストプランを削除するためのアクセス許可を付与 書き込み

restoreTestingPlan*

DeleteRestoreTestingSelection 復元テストプランからリソース割り当てを削除するためのアクセス許可を付与 書き込み

restoreTestingPlan*

DescribeBackupJob バックアップジョブを記述するアクセス許可を付与 読み込み
DescribeBackupVault 指定された名前の新しいバックアップボールトを記述するアクセス許可を付与 読み込み

backupVault*

DescribeCopyJob コピージョブを記述するアクセス許可を付与 読み込み
DescribeFramework 指定された名前のフレームワークを記述する許可を付与 読み込み

framework*

DescribeGlobalSettings グローバル設定を記述するアクセス許可を付与 読み込み
DescribeProtectedResource 保護されたリソースを記述するアクセス許可を付与 読み込み
DescribeRecoveryPoint リカバリポイントを記述するアクセス許可を付与 読み込み

recoveryPoint*

DescribeRegionSettings リージョン設定を記述するアクセス許可を付与 読み込み
DescribeReportJob レポートジョブを記述する許可を付与 読み込み
DescribeReportPlan 指定された名前のレポートプランを記述する許可を付与 読み込み

reportPlan*

DescribeRestoreJob 復元ジョブを記述するアクセス許可を付与 読み込み
DisassociateRecoveryPoint バックアップボールトからリカバリポイントの関連付けを解除するアクセス許可を付与 書き込み

recoveryPoint*

DisassociateRecoveryPointFromParent 親からリカバリポイントの関連付けを解除する許可を付与 書き込み

recoveryPoint*

ExportBackupPlanTemplate バックアッププランを JSON としてエクスポートする許可を付与 読み取り
GetBackupPlan バックアッププランを取得するアクセス許可を付与 読み取り

backupPlan*

GetBackupPlanFromJSON JSON をバックアッププランに変換する許可を付与 読み取り
GetBackupPlanFromTemplate テンプレートをバックアッププランに変換するアクセス許可を付与 読み込み
GetBackupSelection バックアッププランのリソース割り当てを取得するアクセス許可を付与 読み込み

backupPlan*

GetBackupVaultAccessPolicy バックアップボールトアクセスポリシーを取得するアクセス許可を付与 読み込み

backupVault*

GetBackupVaultNotifications バックアップボールト通知を取得するアクセス許可を付与 読み取り

backupVault*

GetBackupVaultSharingPolicy[アクセス許可のみ] バックアップボールト共有ポリシーを取得する許可を付与 読み取り

backupVault*

GetLegalHold リーガルホールドを取得する許可を付与 読み取り

legalHold*

GetRecoveryPointRestoreMetadata リカバリポイント復元メタデータを取得するアクセス許可を付与 読み取り

recoveryPoint*

GetRestoreJobMetadata 復元ジョブに関連付けられた復元メタデータを取得するためのアクセス許可を付与 読み取り
GetRestoreTestingInferredMetadata 復元テストによって生成された推測されるメタデータを取得するためのアクセス許可を付与 読み取り
GetRestoreTestingPlan 復元テストプランを取得するためのアクセス許可を付与 読み取り

restoreTestingPlan*

GetRestoreTestingSelection 復元テストプランのリソース割り当てを取得するためのアクセス許可を付与 読み取り

restoreTestingPlan*

GetSupportedResourceTypes サポートされているリソースタイプを取得するアクセス許可を付与 読み取り
ListBackupJobSummaries バックアップジョブの概要を一覧表示する許可を付与 リスト
ListBackupJobs バックアップジョブを一覧表示するアクセス許可を付与 リスト
ListBackupPlanTemplates AWS Backup が提供するバックアッププランテンプレートを一覧表示するアクセス許可を付与します リスト
ListBackupPlanVersions バックアッププランのバージョンを一覧表示するアクセス許可を付与 リスト

backupPlan*

ListBackupPlans バックアッププランを一覧表示する許可を付与 リスト
ListBackupSelections 特定のバックアッププランのリソース割り当てを一覧表示するアクセス許可を付与 リスト

backupPlan*

ListBackupVaults バックアップボールトを一覧表示する許可を付与 リスト
ListCopyJobSummaries コピージョブの概要を一覧表示する許可を付与 リスト
ListCopyJobs コピージョブを一覧表示するアクセス許可を付与 リスト
ListFrameworks フレームワークを一覧表示する許可を付与 リスト
ListLegalHolds リーガルホールド一覧表示する許可を付与 リスト
ListProtectedResources AWS Backup で保護されたリソースを一覧表示する許可を付与 リスト
ListProtectedResourcesByBackupVault バックアップボールト内の保護されたリソースを一覧表示する許可を付与 リスト

backupVault*

ListRecoveryPointsByBackupVault バックアップボールト内のリカバリポイントを一覧表示するアクセス許可を付与 リスト

backupVault*

ListRecoveryPointsByLegalHold リーガルホールドによるリカバリポイントを一覧表示する許可を付与 リスト

legalHold*

ListRecoveryPointsByResource リソースのリカバリポイントを一覧表示するアクセス許可を付与 リスト
ListReportJobs レポートジョブを一覧表示するための許可を付与 リスト
ListReportPlans レポートプランを一覧表示するための許可を付与 リスト
ListRestoreJobSummaries 復元ジョブの概要を一覧表示する許可を付与 リスト
ListRestoreJobs 復元ジョブを一覧表示するためのアクセス許可を付与 リスト
ListRestoreJobsByProtectedResource 保護されたリソースの復元ジョブを一覧表示するためのアクセス許可を付与 リスト
ListRestoreTestingPlans 復元テストプランを一覧表示するためのアクセス許可を付与 リスト
ListRestoreTestingSelections 特定の復元テストプランのリソース割り当てを一覧表示するためのアクセス許可を付与 リスト

restoreTestingPlan*

ListTags リソースのタグを一覧表示する許可を付与 読み込み

backupPlan

backupVault

framework

legalHold

recoveryPoint

reportPlan

restoreTestingPlan

PutBackupVaultAccessPolicy バックアップボールトにアクセスポリシーを追加するアクセス許可を付与 権限の管理

backupVault*

PutBackupVaultLockConfiguration バックアップボールトにロック設定を追加するためのアクセス許可を付与 書き込み

backupVault*

backup:ChangeableForDays

backup:MinRetentionDays

backup:MaxRetentionDays

PutBackupVaultNotifications SNS トピックをバックアップボールトに追加する許可を付与 書き込み

backupVault*

PutBackupVaultSharingPolicy[アクセス許可のみ] バックアップボールトに共有ポリシーを追加する許可を付与 権限の管理

backupVault*

PutRestoreValidationResult 復元の検証結果を入力するためのアクセス許可を付与 書き込み
StartBackupJob 新しいバックアップジョブを開始するアクセス許可を付与 書き込み

backupVault*

iam:PassRole

StartCopyJob バックアップ元ボールトからバックアップ先ボールトにバックアップデータをコピーするアクセス許可を付与 書き込み

recoveryPoint*

iam:PassRole

StartReportJob 新しいレポートジョブを開始するための許可を付与 書き込み

reportPlan*

StartRestoreJob 新しい復元ジョブを開始するアクセス許可を付与 書き込み

recoveryPoint*

iam:PassRole

StopBackupJob バックアップジョブを停止するアクセス許可を付与 書き込み
TagResource リソースにタグを付けるアクセス許可を付与 タグ付け

backupPlan

backupVault

framework

legalHold

recoveryPoint

reportPlan

restoreTestingPlan

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースのタグを解除する許可を付与 タグ付け

backupPlan

backupVault

framework

legalHold

recoveryPoint

reportPlan

restoreTestingPlan

aws:TagKeys

UpdateBackupPlan バックアッププランを更新するアクセス許可を付与 書き込み

backupPlan*

UpdateFramework フレームワークを更新するための許可を付与 書き込み

framework*

UpdateGlobalSettings AWS アカウントの現在のグローバル設定を更新する許可を付与 書き込み
UpdateRecoveryPointLifecycle リカバリポイントのライフサイクルを更新するアクセス許可を付与 書き込み

recoveryPoint*

UpdateRegionSettings リージョンの現在のサービスオプトイン設定を更新するアクセス許可を付与 書き込み
UpdateReportPlan レポートプランを更新するための許可を付与 書き込み

reportPlan*

backup:FrameworkArns

UpdateRestoreTestingPlan 復元テストプランを更新するためのアクセス許可を付与 書き込み

restoreTestingPlan*

UpdateRestoreTestingSelection 復元テストプランで新しいリソース割り当てを更新するためのアクセス許可を付与 書き込み

restoreTestingPlan*

iam:PassRole

AWS Backup で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
backupVault arn:${Partition}:backup:${Region}:${Account}:backup-vault:${BackupVaultName}

aws:ResourceTag/${TagKey}

backupPlan arn:${Partition}:backup:${Region}:${Account}:backup-plan:${BackupPlanId}

aws:ResourceTag/${TagKey}

recoveryPoint arn:${Partition}:${Vendor}:${Region}:*:${ResourceType}:${RecoveryPointId}

aws:ResourceTag/${TagKey}

framework arn:${Partition}:backup:${Region}:${Account}:framework:${FrameworkName}-${FrameworkId}

aws:ResourceTag/${TagKey}

reportPlan arn:${Partition}:backup:${Region}:${Account}:report-plan:${ReportPlanName}-${ReportPlanId}

aws:ResourceTag/${TagKey}

legalHold arn:${Partition}:backup:${Region}:${Account}:legal-hold:${LegalHoldId}

aws:ResourceTag/${TagKey}

restoreTestingPlan arn:${Partition}:backup:${Region}:${Account}:restore-testing-plan:${RestoreTestingPlanName}-${RestoreTestingPlanId}

aws:ResourceTag/${TagKey}

AWS Backup の条件キー

AWS Backup では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグの許可された値のセットでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内の必須タグの存在でアクセスをフィルタリングします ArrayOfString
backup:ChangeableForDays ChangeableForDays パラメータの値でアクセスをフィルタリングします 数値
backup:CopyTargetOrgPaths 組織単位でアクセスをフィルタリングします ArrayOfString
backup:CopyTargets バックアップボールトのARNでアクセスをフィルタリングします ArrayOfARN
backup:FrameworkArns Framework ARNs でアクセスをフィルタリングします ArrayOfARN
backup:MaxRetentionDays MaxRetentionDays パラメータの値でアクセスをフィルタリングします 数値
backup:MinRetentionDays MinRetentionDays パラメータの値でアクセスをフィルタリングします 数値