AWS CloudFormation のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS CloudFormation のアクション、リソース、および条件キー

AWS CloudFormation (サービスプレフィックス: cloudformation) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS CloudFormation で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CancelUpdateStack 指定されたスタックの更新をキャンセルする権限を付与します 書き込み

stack*

ContinueUpdateRollback UPDATE_ROLLBACK_FAILED 状態のスタックについて、UPDATE_ROLLBACK_COMPLETE 状態になるようロールバックを続ける権限を付与します 書き込み

stack*

cloudformation:RoleArn

CreateChangeSet スタックの変更のリストを作成する権限を付与します 書き込み

stack*

cloudformation:ChangeSetName

cloudformation:ResourceTypes

cloudformation:ImportResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStack テンプレートで指定されたスタックを作成する権限を付与します 書き込み

stack*

cloudformation:ResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStackInstances 指定されたリージョン内で指定されたアカウントのスタックインスタンスを作成する権限を付与します 書き込み

stackset*

stackset-target

type

CreateStackSet テンプレートで指定されたスタックセットを作成する権限を付与します 書き込み

cloudformation:RoleArn

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUploadBucket [アクセス許可のみ] Amazon S3 バケットにテンプレートをアップロードする権限を付与します。これらは AWS CloudFormation コンソールでのみ使用されるため、API リファレンスには記載されていません 書き込み
DeleteChangeSet 指定された変更セットを削除する権限を付与します。変更セットを削除することで、誤った変更セットの実行が防止されます。 書き込み

stack*

cloudformation:ChangeSetName

DeleteStack 指定されたスタックを削除する権限を付与します 書き込み

stack*

cloudformation:RoleArn

DeleteStackInstances 指定されたリージョン内で指定されたアカウントのスタックインスタンスを削除する権限を付与します 書き込み

stackset*

stackset-target

type

DeleteStackSet 指定されたスタックセットを削除する権限を付与します 書き込み

stackset*

DeregisterType 既存の CloudFormation タイプまたはタイプバージョンの登録を解除する権限を付与します 書き込み
DescribeAccountLimits アカウントの AWS CloudFormation 制限を取得する権限を付与します Read
DescribeChangeSet 指定された変更セットの説明を返す権限を付与します Read

stack*

cloudformation:ChangeSetName

DescribeStackDriftDetectionStatus スタックドリフト検出オペレーションに関する情報を返す権限を付与します Read
DescribeStackEvents 指定されたスタックについて、スタック関連のすべてのイベントを返す権限を付与します Read

stack*

DescribeStackInstance 指定されたスタックセット、AWS アカウント、リージョンに関連付けられたスタックインスタンスを返す権限を付与します Read

stackset*

DescribeStackResource 指定のスタック内にある指定のリソースの説明を返す権限を付与します Read

stack*

DescribeStackResourceDrifts 指定されたスタック内でドリフトが確認されたリソースのドリフト情報を返す権限を付与します Read

stack*

DescribeStackResources 実行中のスタックおよび削除されたスタックについて、AWS リソースの記述を返す権限を付与します Read

stack*

DescribeStackSet 指定されたスタックセットの説明を返す権限を付与します Read

stackset*

DescribeStackSetOperation 指定されたスタックセットオペレーションの説明を返す権限を付与します Read

stackset*

DescribeStacks 指定された変更スタックの説明を返す権限を付与します リスト

stack*

DescribeType リクエストされた CloudFormation タイプに関する情報を返す権限を付与します Read
DescribeTypeRegistration CloudFormation タイプの登録プロセスに関する情報を返す権限を付与します Read
DetectStackDrift スタックの実際の設定が、スタックテンプレートおよびテンプレートパラメータとして指定された値で定義されている、意図された設定と異なるかどうかを検出する権限を付与します Read

stack*

DetectStackResourceDrift リソースの実際の設定が、スタックテンプレートおよびテンプレートパラメータとして指定された値で定義されている、意図された設定と異なるか、またはドリフトしているかについての情報を返す権限を付与します Read

stack*

DetectStackSetDrift ユーザーがスタックセットとそのスタックセットに属するスタックインスタンスのドリフトを検出できるように権限を付与します Read

stackset*

EstimateTemplateCost テンプレートの推定月額コストを返す権限を付与します Read
ExecuteChangeSet 指定された変更セットの作成時に提供された入力情報を使い、スタックを更新する権限を付与します 書き込み

stack*

cloudformation:ChangeSetName

GetStackPolicy 指定されたスタックのスタックポリシーを返す権限を付与します Read

stack*

GetTemplate 指定されたスタックのテンプレート本文を返す権限を付与します Read

stack*

GetTemplateSummary 承認ルールテンプレートに関する情報を返す権限を付与します Read

stack

stackset

ListChangeSets スタックのアクティブな変更セットごとに、ID とステータスを返す権限を付与しますたとえば、AWS CloudFormation は、CREATE_IN_PROGRESS または CREATE_PENDING 状態にある変更セットを一覧表示します。 リスト

stack*

ListExports このアクションを呼び出すアカウントおよびリージョンにあるエクスポートされた出力値を一覧表示する権限を付与します リスト
ListImports エクスポートされた出力値をインポートしているスタックを一覧表示する権限を付与します リスト
ListStackInstances 指定されたスタックセットに関連付けられているスタックインスタンスについて要約情報を返す権限を付与します リスト

stackset*

ListStackResources 指定されたスタックのすべてのリソースの説明を返す権限を付与します リスト

stack*

ListStackSetOperationResults スタックセットオペレーションの結果に関する要約情報を返す権限を付与します リスト

stackset*

ListStackSetOperations スタックセットで実行されたオペレーションに関する概要情報を返す権限を付与します リスト

stackset*

ListStackSets ユーザーに関連付けられたスタックセットに関する概要情報を返す権限を付与します リスト

stackset*

ListStacks 指定された StackStatusFilter に一致するステータスを持つスタックについて、要約情報を返す権限を付与します リスト
ListTypeRegistrations CloudFormation タイプの登録試行を一覧表示する権限を付与します リスト
ListTypeVersions 特定の CloudFormation タイプのバージョンを一覧表示する権限を付与します リスト
ListTypes 利用可能な CloudFormation タイプを一覧表示する権限を付与します リスト
RecordHandlerProgress ハンドラーの進行状況を記録するためのアクセス権限を付与します 書き込み

stack*

RegisterType 新しい CloudFormation タイプを登録する権限を付与します 書き込み
SetStackPolicy 指定されたスタックのスタックポリシーを設定する権限を付与します アクセス権限の管理

stack*

cloudformation:StackPolicyUrl

SetTypeDefaultVersion CloudFormation オペレーションに適用する CloudFormation タイプのバージョンを設定する権限を付与します 書き込み
SignalResource 成功または失敗のステータスを持つ指定のリソースにシグナルを送信する権限を付与します 書き込み

stack*

StopStackSetOperation スタックセットおよびそれに関連付けられているスタックインスタンスで進行中のオペレーションを停止する権限を付与します 書き込み

stackset*

TagResource クラウドフォーメーションリソースにタグを付ける権限を付与します タグ付け

stack

stackset

UntagResource クラウドフォーメーションリソースのタグを解除する権限を付与します タグ付け

stack

stackset

UpdateStack テンプレートで指定されたスタックを更新する権限を付与します 書き込み

stack*

cloudformation:ResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateStackInstances 指定されたリージョン内で指定されたアカウントのスタックインスタンスのパラメータ値を更新する権限を付与します 書き込み

stackset*

stackset-target

type

UpdateStackSet テンプレートで指定されたスタックセットを更新する権限を付与します 書き込み

stackset*

stackset-target

type

cloudformation:RoleArn

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateTerminationProtection 指定されたスタックの終了保護を更新する権限を付与します 書き込み

stack*

ValidateTemplate 指定されたテンプレートを検証する権限を付与します Read

AWS CloudFormation で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
changeset arn:${Partition}:cloudformation:${Region}:${Account}:changeSet/${ChangeSetName}/${Id}
stack arn:${Partition}:cloudformation:${Region}:${Account}:stack/${StackName}/${Id}

aws:ResourceTag/${TagKey}

stackset arn:${Partition}:cloudformation:${Region}:${Account}:stackset/${StackSetName}/${Id}

aws:ResourceTag/${TagKey}

stackset-target arn:${Partition}:cloudformation:${Region}:${Account}:stackset-target/${StackSetTarget}
type arn:${Partition}:cloudformation:${Region}:${Account}:type/resource/${Type}

AWS CloudFormation の条件キー

AWS CloudFormation では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 文字列
cloudformation:ChangeSetName AWS CloudFormation 変更セット名に基づいてアクションをフィルタリングしますIAM ユーザーがどの変更セットを実行または削除できるかを制御するために使用します。 文字列
cloudformation:ImportResourceTypes テンプレートリソースタイプ (AWS::EC2: インスタンスなど) に基づいてアクションをフィルタリングします。IAM ユーザーがスタックにリソースをインポートする際に操作できるリソースタイプを制御するために使用します。 文字列
cloudformation:ResourceTypes テンプレートリソースタイプ (AWS::EC2: インスタンスなど) に基づいてアクションをフィルタリングします。IAM ユーザーがスタックの作成または更新時に操作できるリソースタイプを制御するために使用します。 文字列
cloudformation:RoleArn IAM サービスロールの ARN に基づいてアクションをフィルタリングします。IAM ユーザーがスタックまたは変更セットの操作にどのサービスロールを使用できるかを制御するために使用します。 ARN
cloudformation:StackPolicyUrl Amazon S3 スタックポリシー URL に基づいてアクションをフィルタリングします。IAM ユーザーがスタックアクションの作成または更新アクション時にスタックにどのスタックポリシーを関連付けられるかを制御するために使用します。 文字列
cloudformation:TemplateUrl Amazon S3 テンプレート URL に基づいてアクションをフィルタリングします。IAM ユーザーがスタックの作成または更新時にどのテンプレートを使用できるかを制御するために使用します。 文字列