AWS クリーンルームのアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS クリーンルームのアクション、リソース、および条件キー

AWS クリーンルーム (サービスプレフィックス: cleanrooms) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS クリーンルームで定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchGetCollaborationAnalysisTemplate コラボレーションに関連付けられた analysisTemplates の詳細を表示するアクセス許可を付与します 読み取り

analysistemplate*

cleanrooms:GetCollaborationAnalysisTemplate

collaboration*

BatchGetSchema スキーマの詳細を表示するアクセス許可を付与 読み取り

collaboration*

cleanrooms:GetSchema

configuredtableassociation

idmappingtable

BatchGetSchemaAnalysisRule スキーマ (複数可) に関連付けられている分析ルールを表示する許可を付与する 読み取り

collaboration*

cleanrooms:GetSchema

configuredtableassociation

idmappingtable

CreateAnalysisTemplate 新しい分析テンプレートを作成するアクセス許可を付与 書き込み

analysistemplate*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

membership*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateCollaboration 新しいコラボレーション、共有データコラボレーション環境を作成するアクセス許可を付与 書き込み

collaboration*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateConfiguredAudienceModelAssociation 新しい関連付けを作成して、Clean Rooms ML の設定済みオーディエンスモデルをコラボレーションにリンクするためのアクセス許可を付与 書き込み

configuredaudiencemodelassociation*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

cleanrooms-ml:GetConfiguredAudienceModel

cleanrooms-ml:GetConfiguredAudienceModelPolicy

cleanrooms-ml:PutConfiguredAudienceModelPolicy

membership*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateConfiguredTable 新しい設定済みテーブルを作成するアクセス許可を付与 書き込み

configuredtable*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

glue:BatchGetPartition

glue:GetDatabase

glue:GetDatabases

glue:GetPartition

glue:GetPartitions

glue:GetSchemaVersion

glue:GetTable

glue:GetTables

CreateConfiguredTableAnalysisRule 設定済みテーブルの分析ルールを作成するアクセス許可を付与 書き込み

configuredtable*

CreateConfiguredTableAssociation 新しいアソシエーションを作成して、設定済みテーブルをコラボレーションにリンクするアクセス許可を付与 書き込み

configuredtable*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

iam:PassRole

configuredtableassociation*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

membership*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateConfiguredTableAssociationAnalysisRule 設定済みテーブル関連付けの分析ルールを作成する許可を付与する 書き込み

configuredtableassociation*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateIdMappingTable 新しい ID マッピングテーブルを作成して、ID マッピングワークフローをコラボレーションにリンクする許可を付与する 書き込み

idmappingtable*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

entityresolution:AddPolicyStatement

entityresolution:GetIdMappingWorkflow

membership*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateIdNamespaceAssociation 新しい関連付けを作成して、 AWS エンティティ解決 ID 名前空間をコラボレーションにリンクするアクセス許可を付与します 書き込み

idnamespaceassociation*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

entityresolution:AddPolicyStatement

entityresolution:GetIdNamespace

membership*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateMembership メンバーシップを作成してコラボレーションに参加するアクセス許可を付与 書き込み

collaboration*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

iam:PassRole

logs:CreateLogDelivery

logs:CreateLogGroup

logs:DeleteLogDelivery

logs:DescribeLogGroups

logs:DescribeResourcePolicies

logs:GetLogDelivery

logs:ListLogDeliveries

logs:PutResourcePolicy

logs:UpdateLogDelivery

s3:GetBucketLocation

membership*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreatePrivacyBudgetTemplate 新しいプライバシー予算テンプレートを作成するためのアクセス許可を付与 書き込み

membership*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

privacybudgettemplate*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

DeleteAnalysisTemplate 既存の分析テンプレートを削除するアクセス許可を付与 書き込み

analysistemplate*

DeleteCollaboration 既存のコラボレーションを削除するアクセス許可を付与 書き込み

collaboration*

cleanrooms-ml:DeleteConfiguredAudienceModelPolicy

cleanrooms-ml:GetConfiguredAudienceModelPolicy

cleanrooms-ml:PutConfiguredAudienceModelPolicy

DeleteConfiguredAudienceModelAssociation 既存の設定済みオーディエンスモデルの関連付けを削除するためのアクセス許可を付与 書き込み

configuredaudiencemodelassociation*

cleanrooms-ml:DeleteConfiguredAudienceModelPolicy

cleanrooms-ml:GetConfiguredAudienceModelPolicy

cleanrooms-ml:PutConfiguredAudienceModelPolicy

DeleteConfiguredTable 設定済みテーブルを削除するアクセス許可を付与 書き込み

configuredtable*

DeleteConfiguredTableAnalysisRule 既存の分析ルールを削除するアクセス許可を付与 書き込み

configuredtable*

DeleteConfiguredTableAssociation コラボレーションから設定済みテーブルの関連付けを解除するアクセス許可を付与 書き込み

configuredtableassociation*

DeleteConfiguredTableAssociationAnalysisRule 既存の設定済みテーブル関連分析ルールを削除する許可を付与する 書き込み

configuredtableassociation*

DeleteIdMappingTable コラボレーションから ID マッピングテーブルを削除する許可を付与する 書き込み

idmappingtable*

entityresolution:DeletePolicyStatement

membership*

DeleteIdNamespaceAssociation コラボレーションから ID 名前空間の関連付けを削除する許可を付与する 書き込み

idnamespaceassociation*

entityresolution:DeletePolicyStatement

membership*

DeleteMember コラボレーションからメンバーを削除するアクセス許可を付与 書き込み

collaboration*

cleanrooms-ml:DeleteConfiguredAudienceModelPolicy

cleanrooms-ml:GetConfiguredAudienceModelPolicy

cleanrooms-ml:PutConfiguredAudienceModelPolicy

DeleteMembership メンバーシップを削除してコラボレーションを終了するアクセス許可を付与 書き込み

membership*

DeletePrivacyBudgetTemplate 既存のプライバシー予算テンプレートを削除するためのアクセス許可を付与 書き込み

privacybudgettemplate*

GetAnalysisTemplate 分析テンプレートの詳細を表示するアクセス許可を付与 読み取り

analysistemplate*

GetCollaboration コラボレーションの詳細を表示するアクセス許可を付与 読み取り

collaboration*

GetCollaborationAnalysisTemplate コラボレーション内の分析テンプレートの詳細を表示するアクセス許可を付与 読み取り

analysistemplate*

collaboration*

GetCollaborationConfiguredAudienceModelAssociation コラボレーション内の設定済みオーディエンスモデルの関連付けの詳細を表示するためのアクセス許可を付与 読み取り

collaboration*

configuredaudiencemodelassociation*

GetCollaborationIdNamespaceAssociation コラボレーション内で ID 名前空間の関連付けを取得する許可を付与する 読み取り

collaboration*

idnamespaceassociation*

GetCollaborationPrivacyBudgetTemplate コラボレーション内のプライバシー予算テンプレートの詳細を表示するためのアクセス許可を付与 読み取り

collaboration*

privacybudgettemplate*

GetConfiguredAudienceModelAssociation 設定済みオーディエンスモデルの関連付けの詳細を表示するためのアクセス許可を付与 読み取り

configuredaudiencemodelassociation*

GetConfiguredTable 設定済みテーブルの詳細を表示するアクセス許可を付与 読み取り

configuredtable*

GetConfiguredTableAnalysisRule 設定済みテーブルの分析ルールを表示するアクセス許可を付与 読み取り

configuredtable*

GetConfiguredTableAssociation 設定済みテーブルの関連付けの詳細を表示するアクセス許可を付与 読み取り

configuredtableassociation*

GetConfiguredTableAssociationAnalysisRule 設定済みテーブル関連付けの分析ルールを表示する許可を付与する 読み取り

configuredtableassociation*

GetIdMappingTable ID マッピングテーブルの詳細を表示する許可を付与する 読み取り

idmappingtable*

membership*

GetIdNamespaceAssociation ID 名前空間の関連付けの詳細を表示する許可を付与する 読み取り

idnamespaceassociation*

entityresolution:GetIdNamespace

membership*

GetMembership メンバーシップに関する詳細を表示するアクセス許可を付与 読み取り

membership*

GetPrivacyBudgetTemplate プライバシー予算テンプレートの詳細を表示するためのアクセス許可を付与 読み取り

privacybudgettemplate*

GetProtectedQuery プロジェクトクエリを表示するアクセス許可を付与 読み取り

membership*

GetSchema スキーマの詳細を表示するアクセス許可を付与 読み取り

collaboration*

configuredtableassociation*

GetSchemaAnalysisRule スキーマに関連付けられている分析ルールを表示するアクセス許可を付与 読み取り

collaboration*

cleanrooms:GetSchema

configuredtableassociation*

ListAnalysisTemplates 利用可能な分析テンプレートを一覧表示するアクセス許可を付与 リスト

analysistemplate*

membership*

ListCollaborationAnalysisTemplates コラボレーション内の利用可能な分析テンプレートを一覧表示するアクセス許可を付与 リスト

collaboration*

ListCollaborationConfiguredAudienceModelAssociations コラボレーション内の利用可能な設定済みオーディエンスモデルの関連付けを一覧表示するためのアクセス許可を付与 リスト

collaboration*

ListCollaborationIdNamespaceAssociations コラボレーション内の ID 名前空間を一覧表示する許可を付与する リスト

collaboration*

ListCollaborationPrivacyBudgetTemplates コラボレーション内の利用可能なプライバシー予算テンプレートを一覧表示するためのアクセス許可を付与 リスト

collaboration*

ListCollaborationPrivacyBudgets コラボレーション内のプライバシー予算を一覧表示するためのアクセス許可を付与 リスト

collaboration*

ListCollaborations 利用可能なコラボレーションを一覧表示するアクセス許可を付与 リスト
ListConfiguredAudienceModelAssociations メンバーシップに利用可能な設定済みオーディエンスモデルの関連付けを一覧表示するためのアクセス許可を付与 リスト

configuredaudiencemodelassociation*

membership*

ListConfiguredTableAssociations メンバーシップに利用可能な設定済みテーブル関連付けを一覧表示するアクセス許可を付与 リスト

configuredtableassociation*

membership*

ListConfiguredTables 利用可能な設定済みテーブルを一覧表示するアクセス許可を付与 リスト
ListIdMappingTables メンバーシップに使用可能な ID マッピングテーブルを一覧表示する許可を付与する リスト

idmappingtable*

membership*

ListIdNamespaceAssociations メンバーシップのエンティティ解決データ関連付けを一覧表示する許可を付与する リスト

idnamespaceassociation*

membership*

ListMembers コラボレーションからメンバーを一覧表示するアクセス許可を付与 リスト

collaboration*

ListMemberships 利用可能なメンバーシップを一覧表示するアクセス許可を付与 リスト
ListPrivacyBudgetTemplates 利用可能なプライバシー予算テンプレートを一覧表示するためのアクセス許可を付与 リスト

membership*

privacybudgettemplate*

ListPrivacyBudgets 利用可能なプライバシー予算を一覧表示するためのアクセス許可を付与 リスト

membership*

ListProtectedQueries 保護されたクエリを一覧表示するアクセス許可を付与 リスト

membership*

ListSchemas コラボレーションで使用可能なスキーマを表示するアクセス許可を付与 リスト

collaboration*

ListTagsForResource リソースのタグを一覧表示する許可を付与。 リスト

analysistemplate

collaboration

configuredaudiencemodelassociation

configuredtable

configuredtableassociation

membership

privacybudgettemplate

PassCollaboration[アクセス許可のみ] Clean Rooms ML カスタムモデルのコンテキストでコラボレーションにアクセスする許可を付与 書き込み

collaboration*

PassMembership[アクセス許可のみ] Clean Rooms ML カスタムモデルのコンテキストでメンバーシップにアクセスする許可を付与 書き込み

membership*

PopulateIdMappingTable AWS エンティティ解決で ID マッピングジョブを開始して、クリーンルームコラボレーションで ID マッピング結果を生成するアクセス許可を付与します。 書き込み

idmappingtable*

entityresolution:GetIdMappingWorkflow

membership*

PreviewPrivacyImpact プライバシー予算テンプレートの設定をプレビューするためのアクセス許可を付与 読み取り

membership*

StartProtectedQuery 保護されたクエリを開始するアクセス許可を付与 書き込み

membership*

cleanrooms:GetCollaborationAnalysisTemplate

cleanrooms:GetSchema

s3:GetBucketLocation

s3:ListBucket

s3:PutObject

analysistemplate

configuredtableassociation

idmappingtable

TagResource リソースにタグを付けるアクセス許可を付与 タグ付け

analysistemplate

collaboration

configuredaudiencemodelassociation

configuredtable

configuredtableassociation

idmappingtable

idnamespaceassociation

membership

privacybudgettemplate

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource リソースのタグを解除する許可を付与 タグ付け

analysistemplate

collaboration

configuredaudiencemodelassociation

configuredtable

configuredtableassociation

idmappingtable

idnamespaceassociation

membership

privacybudgettemplate

aws:TagKeys

UpdateAnalysisTemplate 分析テンプレートの詳細を更新するアクセス許可を付与 書き込み

analysistemplate*

UpdateCollaboration コラボレーションの詳細を更新するアクセス許可を付与 書き込み

collaboration*

UpdateConfiguredAudienceModelAssociation 設定済みオーディエンスモデルの関連付けを更新するためのアクセス許可を付与 書き込み

configuredaudiencemodelassociation*

UpdateConfiguredTable 既存の設定済みテーブルを更新するアクセス許可を付与 書き込み

configuredtable*

UpdateConfiguredTableAnalysisRule 設定済みテーブルの分析ルールを更新するアクセス許可を付与 書き込み

configuredtable*

UpdateConfiguredTableAssociation 設定済みテーブル関連付けを更新するアクセス許可を付与 書き込み

configuredtableassociation*

iam:PassRole

UpdateConfiguredTableAssociationAnalysisRule 設定済みテーブル関連付けの分析ルールを更新する許可を付与する 書き込み

configuredtableassociation*

UpdateIdMappingTable ID マッピングテーブルを更新する許可を付与する 書き込み

idmappingtable*

membership*

UpdateIdNamespaceAssociation エンティティ解決入力関連付けを更新する許可を付与する 書き込み

idnamespaceassociation*

entityresolution:GetIdNamespace

membership*

UpdateMembership メンバーシップの詳細を更新するアクセス許可を付与 書き込み

membership*

iam:PassRole

logs:CreateLogDelivery

logs:CreateLogGroup

logs:DeleteLogDelivery

logs:DescribeLogGroups

logs:DescribeResourcePolicies

logs:GetLogDelivery

logs:ListLogDeliveries

logs:PutResourcePolicy

logs:UpdateLogDelivery

s3:GetBucketLocation

UpdatePrivacyBudgetTemplate プライバシー予算テンプレートの詳細を更新するためのアクセス許可を付与 書き込み

privacybudgettemplate*

UpdateProtectedQuery 保護されたクエリを更新するアクセス許可を付与 書き込み

membership*

AWS クリーンルームで定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
analysistemplate arn:${Partition}:cleanrooms:${Region}:${Account}:membership/${MembershipId}/analysistemplate/${AnalysisTemplateId}

aws:ResourceTag/${TagKey}

collaboration arn:${Partition}:cleanrooms:${Region}:${Account}:collaboration/${CollaborationId}

aws:ResourceTag/${TagKey}

configuredaudiencemodelassociation arn:${Partition}:cleanrooms:${Region}:${Account}:membership/${MembershipId}/configuredaudiencemodelassociation/${ConfiguredAudienceModelAssociationId}

aws:ResourceTag/${TagKey}

configuredtable arn:${Partition}:cleanrooms:${Region}:${Account}:configuredtable/${ConfiguredTableId}

aws:ResourceTag/${TagKey}

configuredtableassociation arn:${Partition}:cleanrooms:${Region}:${Account}:membership/${MembershipId}/configuredtableassociation/${ConfiguredTableAssociationId}

aws:ResourceTag/${TagKey}

idmappingtable arn:${Partition}:cleanrooms:${Region}:${Account}:membership/${MembershipId}/idmappingtable/${IdMappingTableId}

aws:ResourceTag/${TagKey}

idnamespaceassociation arn:${Partition}:cleanrooms:${Region}:${Account}:membership/${MembershipId}/idnamespaceassociation/${IdNamespaceAssociationId}

aws:ResourceTag/${TagKey}

membership arn:${Partition}:cleanrooms:${Region}:${Account}:membership/${MembershipId}

aws:ResourceTag/${TagKey}

privacybudgettemplate arn:${Partition}:cleanrooms:${Region}:${Account}:membership/${MembershipId}/privacybudgettemplate/${PrivacyBudgetTemplateId}

aws:ResourceTag/${TagKey}

AWS クリーンルームの条件キー

AWS クリーンルームでは、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString