翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のアクション、リソース、および条件キー AWS CloudFormation
AWS CloudFormation (service prefix:cloudformation) には、IAM アクセス権限ポリシーで使用できる以下のサービス固有のリソース、アクション、および条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS CloudFormation で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| ActivateOrganizationsAccess | とOrganizations StackSets 間の信頼できるアクセスを有効にする権限を付与します。 StackSets とOrganizations 間の信頼できるアクセスを有効にすると、 StackSets 管理アカウントには組織の作成と管理を行う権限が付与されます。 | 書き込み | |||
| ActivateType | 公開されたサードパーティー拡張機能をアクティブ化するためのアクセス許可を付与し、スタックテンプレートで使用できるようにする | 書き込み | |||
| BatchDescribeTypeConfigurations | CloudFormation 指定したエクステンションの設定データを返す権限を付与します。 | 読み取り | |||
| CancelUpdateStack | 指定されたスタックの更新をキャンセルするアクセス許可を付与 | Write | |||
| ContinueUpdateRollback | UPDATE_ROLLBACK_FAILED 状態のスタックについて、UPDATE_ROLLBACK_COMPLETE 状態になるようロールバックを続けるアクセス許可を付与 | Write | |||
| CreateChangeSet | スタックの変更のリストを作成するアクセス許可を付与 | 書き込み | |||
| CreateGeneratedTemplate | でまだ管理されていない既存のリソースからテンプレートを作成する権限を付与します。 CloudFormation | 書き込み | |||
| CreateStack | テンプレートで指定されたスタックを作成するアクセス許可を付与 | Write | |||
| CreateStackInstances | 指定されたリージョン内で指定されたアカウントのスタックインスタンスを作成するアクセス許可を付与 | Write | |||
| CreateStackSet | テンプレートで指定されたスタックセットを作成するアクセス許可を付与 | Write | |||
| CreateUploadBucket [アクセス許可のみ] | Amazon S3 バケットにテンプレートをアップロードするアクセス許可を付与 AWS CloudFormation コンソールでのみ使用され、API リファレンスには記載されていません。 | 書き込み | |||
| DeactivateOrganizationsAccess | とOrganizations StackSets 間の信頼できるアクセスを無効にする権限を付与します。信頼されたアクセスを無効にすると、 StackSets 管理アカウントには組織のサービス管理を作成および管理する権限がなくなります。 | 書き込み | |||
| DeactivateType | アカウントとリージョン内で先にアクティブ化されている、公開拡張機能を非アクティブ化するためのアクセス許可を付与 | 書き込み | |||
| DeleteChangeSet | 指定された変更セットを削除するアクセス許可を付与 変更セットを削除することで、誤った変更セットの実行が防止されます。 | 書き込み | |||
| DeleteGeneratedTemplate | 生成されたテンプレートを削除する権限を付与します。 | 書き込み | |||
| DeleteStack | 指定されたスタックを削除するアクセス許可を付与 | Write | |||
| DeleteStackInstances | 指定されたリージョン内で指定されたアカウントのスタックインスタンスを削除するアクセス許可を付与 | Write | |||
| DeleteStackSet | 指定されたスタックセットを削除するアクセス許可を付与 | 書き込み | |||
| DeregisterType | CloudFormation 既存のタイプまたはタイプバージョンを登録解除する権限を付与します。 | 書き込み | |||
| DescribeAccountLimits | アカウントの制限を取得する権限を付与します。 AWS CloudFormation | 読み取り | |||
| DescribeChangeSet | 指定された変更セットの説明を返すアクセス許可を付与 | 読み取り | |||
| DescribeChangeSetHooks | 指定した変更セットのフック呼び出し情報を返す許可を付与 | 読み取り | |||
| DescribeGeneratedTemplate | 生成されたテンプレートを記述する権限を付与します。出力には、生成されたテンプレートの作成の進行状況に関する詳細が含まれます。 | 読み取り | |||
| DescribeOrganizationsAccess | OrganizationAccess アカウントのステータスに関する情報を返す権限を付与します。 | 読み取り | |||
| DescribePublisher | CloudFormation 拡張機能の公開者に関する情報を返す権限を付与します。 | 読み取り | |||
| DescribeResourceScan | リソーススキャンの詳細を記述する権限を付与します。 | 読み取り | |||
| DescribeStackDriftDetectionStatus | スタックドリフト検出オペレーションに関する情報を返すアクセス許可を付与 | Read | |||
| DescribeStackEvents | 指定されたスタックについて、スタック関連のすべてのイベントを返すアクセス許可を付与 | 読み取り | |||
| DescribeStackInstance | 指定されたスタックセット、 AWS アカウント、およびリージョンに関連付けられたスタックインスタンスを返す権限を付与します。 | 読み取り | |||
| DescribeStackResource | 指定のスタック内にある指定のリソースの説明を返すアクセス許可を付与 | Read | |||
| DescribeStackResourceDrifts | 指定されたスタック内でドリフトが確認されたリソースのドリフト情報を返すアクセス許可を付与 | 読み取り | |||
| DescribeStackResources | AWS 実行中のスタックと削除されたスタックのリソース記述を返す権限を付与します。 | 読み取り | |||
| DescribeStackSet | 指定されたスタックセットの説明を返すアクセス許可を付与 | Read | |||
| DescribeStackSetOperation | 指定されたスタックセットオペレーションの説明を返すアクセス許可を付与 | 読み取り | |||
| DescribeStacks | 指定したスタックの説明を返す権限を付与します。アクションと組み合わせて使用すると、すべてのスタックの説明を返す権限を付与します。 ListStacks | リスト |
cloudformation:ListStacks |
||
| DescribeType | CloudFormation 要求されたタイプに関する情報を返す権限を付与します。 | 読み取り | |||
| DescribeTypeRegistration | CloudFormation タイプの登録プロセスに関する情報を返す権限を付与します。 | 読み取り | |||
| DetectStackDrift | スタックの実際の設定が、スタックテンプレートおよびテンプレートパラメータとして指定された値で定義されている、意図された設定と異なるかどうかを検出するアクセス許可を付与 | Read | |||
| DetectStackResourceDrift | リソースの実際の設定が、スタックテンプレートおよびテンプレートパラメータとして指定された値で定義されている、意図された設定と異なるか、またはドリフトしているかについての情報を返すアクセス許可を付与 | Read | |||
| DetectStackSetDrift | ユーザーがスタックセットとそのスタックセットに属するスタックインスタンスのドリフトを検出できるようにアクセス許可を付与 | Read | |||
| EstimateTemplateCost | テンプレートの推定月額コストを返すアクセス許可を付与 | Read | |||
| ExecuteChangeSet | 指定された変更セットの作成時に提供された入力情報を使い、スタックを更新するアクセス許可を付与 | 書き込み | |||
| GetGeneratedTemplate | 生成されたテンプレートを取得する権限を付与します。 | 読み取り | |||
| GetStackPolicy | 指定されたスタックのスタックポリシーを返すアクセス許可を付与 | Read | |||
| GetTemplate | 指定されたスタックのテンプレート本文を返すアクセス許可を付与 | Read | |||
| GetTemplateSummary | 承認ルールテンプレートに関する情報を返すアクセス許可を付与 | 読み取り | |||
| ImportStacksToStackSet | ユーザーが既存のスタックを新規または既存のスタックセットにインポートできるようにする許可を付与 | 書き込み | |||
| ListChangeSets | スタックのアクティブな変更セットごとに、ID とステータスを返すアクセス許可を付与 たとえば、CREATE_IN_PROGRESS または CREATE_PENDING AWS CloudFormation 状態にある変更セットを一覧表示します。 | リスト | |||
| ListExports | このアクションを呼び出すアカウントおよびリージョンにあるエクスポートされた出力値を一覧表示するアクセス許可を付与 | リスト | |||
| ListGeneratedTemplates | このリージョンで生成されたテンプレートを一覧表示する権限を付与します。 | リスト | |||
| ListImports | エクスポートされた出力値をインポートしているスタックを一覧表示するアクセス許可を付与 | リスト | |||
| ListResourceScanRelatedResources | リソーススキャンのリソースリストに関連リソースを一覧表示する権限を付与します。レスポンスには、返された各リソースがすでに管理されているかどうかが示されます。 CloudFormation | リスト | |||
| ListResourceScanResources | リソーススキャンのリソースを一覧表示する権限を付与します。結果は、リソース識別子、リソースタイププレフィックス、タグキー、タグ値でフィルタリングできます。 | リスト | |||
| ListResourceScans | リソーススキャンを最新のものから古いものへと一覧表示する権限を付与します。デフォルトでは、最大 10 件のリソーススキャンが返されます。 | リスト | |||
| ListStackInstanceResourceDrifts | 指定されたスタックインスタンス内でドリフトが確認されたリソースのドリフト情報を返すアクセス許可を付与します | リスト | |||
| ListStackInstances | 指定されたスタックセットに関連付けられているスタックインスタンスについて要約情報を返すアクセス許可を付与 | リスト | |||
| ListStackResources | 指定されたスタックのすべてのリソースの説明を返すアクセス許可を付与 | リスト | |||
| ListStackSetAutoDeploymentTargets | StackSet 自動デプロイターゲットに関する概要情報を返す権限を付与します。 | リスト | |||
| ListStackSetOperationResults | スタックセットオペレーションの結果に関する要約情報を返すアクセス許可を付与 | リスト | |||
| ListStackSetOperations | スタックセットで実行されたオペレーションに関する概要情報を返すアクセス許可を付与 | リスト | |||
| ListStackSets | ユーザーに関連付けられたスタックセットに関する概要情報を返すアクセス許可を付与 | リスト | |||
| ListStacks | StackStatusFilterステータスが指定と一致するスタックのサマリー情報を返す権限を付与します。 DescribeStacks アクションと組み合わせて、スタックの説明を一覧表示する権限を付与します。 | リスト | |||
| ListTypeRegistrations | CloudFormation タイプ登録の試行を一覧表示する権限を付与します。 | リスト | |||
| ListTypeVersions | CloudFormation 特定のタイプのバージョンを一覧表示する権限を付与します。 | リスト | |||
| ListTypes | CloudFormation 使用可能なタイプを一覧表示する権限を付与します。 | リスト | |||
| PublishType | 指定されたエクステンションを、 CloudFormation このリージョンのパブリックエクステンションとしてレジストリに公開する権限を付与します。 | 書き込み | |||
| RecordHandlerProgress | ハンドラーの進行状況を記録する許可を付与 | 書き込み | |||
| RegisterPublisher | CloudFormation パブリックエクステンションのパブリッシャーとしてレジストリに登録する権限を付与します。 | 書き込み | |||
| RegisterType | CloudFormation 新しいタイプを登録する権限を付与します。 | 書き込み | |||
| RollbackStack | スタックを最後の安定状態にロールバックするアクセス許可を付与 | 書き込み | |||
| SetStackPolicy | 指定されたスタックのスタックポリシーを設定するアクセス許可を付与 | 権限の管理 | |||
| SetTypeConfiguration | 指定したアカウントとリージョンで、 CloudFormation 登録されているエクステンションの設定データを設定する権限を付与します。 | 書き込み | |||
| SetTypeDefaultVersion | CloudFormation CloudFormation タイプのどのバージョンを操作に適用するかを設定する権限を付与します。 | 書き込み | |||
| SignalResource | 成功または失敗のステータスを持つ指定のリソースにシグナルを送信するアクセス許可を付与 | 書き込み | |||
| StartResourceScan | このリージョン内のこのアカウントのリソースのスキャンを開始する権限を付与します。 | 書き込み | |||
| StopStackSetOperation | スタックセットおよびそれに関連付けられているスタックインスタンスで進行中のオペレーションを停止するアクセス許可を付与 | Write | |||
| TagResource | クラウドフォーメーションリソースにタグを付けるアクセス許可を付与 | タグ付け | |||
| TestType | 登録されたエクステンションをテストして、 CloudFormation レジストリでの公開に必要なすべての要件を満たしていることを確認する権限を付与します。 | 書き込み | |||
| UntagResource | クラウドフォーメーションリソースのタグを解除するアクセス許可を付与 | タグ付け | |||
| UpdateGeneratedTemplate | 生成されたテンプレートを更新する権限を付与します。これを使用して、名前の変更、リソースの追加と削除、リソースの更新、 DeletionPolicy UpdateReplacePolicy および設定の変更を行うことができます。 | 書き込み | |||
| UpdateStack | テンプレートで指定されたスタックを更新するアクセス許可を付与 | Write | |||
| UpdateStackInstances | 指定されたリージョン内で指定されたアカウントのスタックインスタンスのパラメータ値を更新するアクセス許可を付与 | Write | |||
| UpdateStackSet | テンプレートで指定されたスタックセットを更新するアクセス許可を付与 | Write | |||
| UpdateTerminationProtection | 指定されたスタックの終了保護を更新するアクセス許可を付与 | Write | |||
| ValidateTemplate | 指定されたテンプレートを検証するアクセス許可を付与 | 読み取り |
AWS CloudFormation で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| changeset |
arn:${Partition}:cloudformation:${Region}:${Account}:changeSet/${ChangeSetName}/${Id}
|
|
| stack |
arn:${Partition}:cloudformation:${Region}:${Account}:stack/${StackName}/${Id}
|
|
| stackset |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset/${StackSetName}:${Id}
|
|
| stackset-target |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset-target/${StackSetTarget}
|
|
| type |
arn:${Partition}:cloudformation:${Region}:${Account}:type/resource/${Type}
|
|
| generatedtemplate |
arn:${Partition}:cloudformation:${Region}:${Account}:generatedTemplate/${Id}
|
|
| resourcescan |
arn:${Partition}:cloudformation:${Region}:${Account}:resourceScan/${Id}
|
AWS CloudFormation の条件キー
AWS CloudFormation IAM Condition ポリシーの要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
| cloudformation:ChangeSetName | AWS CloudFormation 変更セット名でアクセスをフィルタリングします。IAM ユーザーがどの変更セットを実行または削除できるかを制御するために使用します。 | 文字列 |
| cloudformation:ImportResourceTypes | :: EC2 AWS:: Instance などのテンプレートリソースタイプでアクセスをフィルタリングします。IAM ユーザーがスタックにリソースをインポートする際に操作できるリソースタイプを制御するために使用します。 | 文字列 |
| cloudformation:ResourceTypes | :: EC2 AWS:: Instance などのテンプレートリソースタイプでアクセスをフィルタリングします。IAM ユーザーがスタックの作成または更新時に操作できるリソースタイプを制御するために使用します。 | ArrayOfString |
| cloudformation:RoleArn | IAM サービスロールの ARN によりアクセスをフィルタリングする IAM ユーザーがスタックまたは変更セットの操作にどのサービスロールを使用できるかを制御するために使用します。 | ARN |
| cloudformation:StackPolicyUrl | Amazon S3 のスタックポリシー URL によりアクセスをフィルタリングする IAM ユーザーがスタックアクションの作成または更新アクション時にスタックにどのスタックポリシーを関連付けられるかを制御するために使用します。 | 文字列 |
| cloudformation:TargetRegion | スタックセットのターゲットリージョンによりアクセスをフィルタリングする スタックセットを作成または更新する IAM ユーザーが使用可能なリージョンを、制御するために使用します。 | ArrayOfString |
| cloudformation:TemplateUrl | Amazon S3 のテンプレート URL によりアクセスをフィルタリングする IAM ユーザーがスタックの作成または更新時にどのテンプレートを使用できるかを制御するために使用します。 | 文字列 |
