AWS CloudHSM のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS CloudHSM のアクション、リソース、および条件キー

AWS CloudHSM (サービスプレフィックス: cloudhsm) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS CloudHSM で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddTagsToResource 指定された AWS CloudHSM リソースの 1 つ以上のタグを追加または上書きします。 タグ付け
CopyBackupToRegion 指定されたリージョンにバックアップのコピーを作成します。 書き込み

backup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster 新しい AWS CloudHSM クラスターを作成します。 書き込み

backup

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHapg 高可用性のパーティショングループを作成します。 書き込み
CreateHsm 指定された AWS CloudHSM クラスターに新しいハードウェアセキュリティモジュール (HSM) を作成します。 書き込み

cluster*

CreateLunaClient HSM クライアントを作成します。 書き込み
DeleteBackup 指定された CloudHSM バックアップを削除します。 書き込み

backup*

DeleteCluster 指定された AWS CloudHSM クラスターを削除します。 書き込み

cluster*

DeleteHapg 高可用性のパーティショングループを削除します。 書き込み
DeleteHsm 指定された HSM を削除します。 書き込み
DeleteLunaClient クライアントを削除します。 書き込み
DescribeBackups AWS CloudHSM クラスターのバックアップに関する情報を取得します。 Read
DescribeClusters AWS CloudHSM クラスターに関する情報を取得します。 Read
DescribeHapg 高可用性のパーティショングループに関する情報を取得します。 Read
DescribeHsm HSM に関する情報を取得します。HSM は、ARN またはそのシリアル番号で識別できます。 Read
DescribeLunaClient HSM クライアントに関する情報を取得します。 Read
GetConfig クライアントが関連付けられているすべての高可用性パーティショングループへの接続に必要な設定ファイルを取得します。 Read
InitializeCluster AWS CloudHSM クラスターを登録します。 書き込み

cluster*

ListAvailableZones 利用可能な AWS CloudHSM キャパシティーを含むアベイラビリティーゾーンを一覧表示します。 リスト
ListHapgs アカウントの高可用性パーティショングループを一覧表示します。 リスト
ListHsms 現在の顧客向けにプロビジョンされた HSM の識別子をすべて取得します。 リスト
ListLunaClients すべてのクライアントを一覧表示します。 リスト
ListTags 指定された AWS CloudHSM クラスターのタグのリストを取得します。 Read

backup

cluster

ListTagsForResource 指定された AWS CloudHSM リソースのすべてのタグのリストを返します。 Read
ModifyBackupAttributes AWS CloudHSM バックアップの属性を変更します 書き込み

backup*

ModifyCluster AWS CloudHSM クラスターを変更します。 書き込み

cluster*

ModifyHapg 既存の高可用性パーティショングループを変更します。 書き込み
ModifyHsm HSM を変更します。 書き込み
ModifyLunaClient クライアントによって使用される証明書を変更します。 書き込み
RemoveTagsFromResource 指定された AWS CloudHSM リソースから 1 つ以上のタグを削除します。 タグ付け
RestoreBackup 指定された CloudHSM バックアップを復元します。 書き込み

backup*

TagResource 指定された AWS CloudHSM クラスター向けに 1 つ以上のタグを追加または上書きします。 タグ付け

backup

cluster

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 指定された AWS CloudHSM クラスターから指定されたタグを削除します。 タグ付け

backup

cluster

aws:TagKeys

AWS CloudHSM で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
backup arn:${Partition}:cloudhsm:${Region}:${Account}:backup/${CloudHsmBackupInstanceName}

aws:ResourceTag/${TagKey}

cluster arn:${Partition}:cloudhsm:${Region}:${Account}:cluster/${CloudHsmClusterInstanceName}

aws:ResourceTag/${TagKey}

AWS CloudHSM の条件キー

AWS CloudHSM では、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列