AWS Batch のアクション、リソース、および条件キー

AWS Batch (サービスプレフィックス: batch) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

AWS Batch で定義されるアクション
AWS Batch で定義されるリソースタイプ
AWS Batch の条件キー

AWS Batch で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー
CancelJob	アカウントの AWS バッチジョブキューでジョブをキャンセルする許可を付与	書き込み	job*
CreateComputeEnvironment	アカウントで AWS バッチコンピューティング環境を作成する許可を付与	書き込み	compute-environment*
CreateComputeEnvironment	アカウントで AWS バッチコンピューティング環境を作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateJobQueue	アカウントで AWS バッチジョブキューを作成する許可を付与	書き込み	compute-environment*
			job-queue*
			scheduling-policy
				aws:RequestTag/${TagKey} aws:TagKeys
CreateSchedulingPolicy	アカウントで AWS バッチジョブキューを作成する許可を付与	書き込み	scheduling-policy*
CreateSchedulingPolicy	アカウントで AWS バッチジョブキューを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
DeleteComputeEnvironment	アカウントで AWS バッチコンピューティング環境を削除する許可を付与	書き込み	compute-environment*
DeleteJobQueue	アカウントで AWS バッチジョブキューを削除する許可を付与	書き込み	job-queue*
DeleteSchedulingPolicy	アカウントで AWS バッチジョブキューを削除する許可を付与	書き込み	scheduling-policy*
DeregisterJobDefinition	アカウントで AWS バッチジョブ定義を登録解除する許可を付与	書き込み	job-definition*
DescribeComputeEnvironments	アカウントで 1 つ以上の AWS バッチコンピューティング環境を記述する許可を付与	読み込み
DescribeJobDefinitions	アカウントで 1 つ以上の AWS バッチジョブ定義を記述する許可を付与	読み込み
DescribeJobQueues	アカウントで 1 つ以上の AWS バッチジョブキューを記述する許可を付与	読み込み
DescribeJobs	アカウントで AWS バッチジョブのリストを記述する許可を付与	読み込み
DescribeSchedulingPolicies	アカウントで 1 つ以上の AWS バッチジョブキューを記述する許可を付与	読み込み
ListJobs	アカウントで指定された AWS バッチジョブキューのジョブを一覧表示する許可を付与	リスト
ListSchedulingPolicies	AWSアカウントのスケジュールを一覧表示する許可を付与	読み込み
ListTagsForResource	アカウントで AWS バッチリソースのタグを一覧表示する許可を付与	読み込み	compute-environment
			job
			job-definition
			job-queue
			scheduling-policy
RegisterJobDefinition	アカウントで AWS バッチジョブ定義を登録する許可を付与	書き込み	job-definition*
RegisterJobDefinition	アカウントで AWS バッチジョブ定義を登録する許可を付与	書き込み		batch:User batch:Privileged batch:Image batch:LogDriver batch:AWSLogsGroup batch:AWSLogsRegion batch:AWSLogsStreamPrefix batch:AWSLogsCreateGroup aws:RequestTag/${TagKey} aws:TagKeys
SubmitJob	アカウントでジョブ定義から AWS バッチジョブを送信する許可を付与	書き込み	job-definition*
			job-queue*
				aws:RequestTag/${TagKey} aws:TagKeys batch:ShareIdentifier
TagResource	アカウントで AWS バッチリソースにタグ付けする許可を付与	タグ付け	compute-environment
			job
			job-definition
			job-queue
			scheduling-policy
				aws:RequestTag/${TagKey} aws:TagKeys
TerminateJob	アカウントで AWS バッチジョブキューのジョブを停止する許可を付与	書き込み	job*
UntagResource	アカウントで AWS バッチリソースのタグ付けを解除する許可を付与	タグ付け	compute-environment
			job
			job-definition
			job-queue
			scheduling-policy
				aws:TagKeys
UpdateComputeEnvironment	アカウントで AWS バッチコンピューティング環境を更新する許可を付与	書き込み	compute-environment*
UpdateJobQueue	アカウントで AWS バッチジョブキューを更新する許可を付与	書き込み	job-queue*
			compute-environment
			scheduling-policy
UpdateSchedulingPolicy	アカウントで AWS バッチジョブキューを更新する許可を付与	書き込み	scheduling-policy*

AWS Batch で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
compute-environment	`arn:${Partition}:batch:${Region}:${Account}:compute-environment/${ComputeEnvironmentName}`	aws:ResourceTag/${TagKey}
job-queue	`arn:${Partition}:batch:${Region}:${Account}:job-queue/${JobQueueName}`	aws:ResourceTag/${TagKey}
job-definition	`arn:${Partition}:batch:${Region}:${Account}:job-definition/${JobDefinitionName}:${Revision}`	aws:ResourceTag/${TagKey}
job	`arn:${Partition}:batch:${Region}:${Account}:job/${JobId}`	aws:ResourceTag/${TagKey}
scheduling-policy	`arn:${Partition}:batch:${Region}:${Account}:scheduling-policy/${SchedulingPolicyName}`	aws:ResourceTag/${TagKey}

AWS Batch の条件キー

AWS Batch では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエストで渡されたタグでアクセスをフィルタリングする	文字列
aws:ResourceTag/${TagKey}	リソースに関連付けられたタグでアクセスをフィルタリングする	文字列
aws:TagKeys	リクエストで渡されたタグキーでアクセスをフィルタリングする	ArrayOfString
batch:AWSLogsCreateGroup	指定したロギングドライバーに基づいてアクセスをフィルタリングし、awslogs グループがログに対して作成されるかどうかを決定	Bool
batch:AWSLogsGroup	ログが配置されている awslogs グループに基づいてアクセスをフィルタリング	文字列
batch:AWSLogsRegion	ログが送信されるリージョンに基づいてアクセスをフィルタリング	文字列
batch:AWSLogsStreamPrefix	awslogs ログストリームプレフィックスに基づいてアクセスをフィルタリング	文字列
batch:Image	コンテナの開始に使用するイメージに基づいてアクセスをフィルタリング	文字列
batch:LogDriver	コンテナに使用されるログドライバーに基づいてアクセスをフィルタリング	文字列
batch:Privileged	コンテナに、ホストコンテナインスタンスに対する昇格された権限 (ルートユーザーと同様) が付与されたかどうかを決定する指定されたパラメータ値に基づいてアクセスをフィルタリング	Bool
batch:ShareIdentifier	送信ジョブ内で使用される ShareIdentifier によるアクセスをフィルタリングします。	文字列
batch:User	コンテナ内で使用されるユーザー名または数値 uid に基づいてアクセスをフィルタリング	文字列

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Backup ストレージ

AWS Billing and Cost Management