AWS CloudTrail のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail のアクション、リソース、および条件キー

AWS CloudTrail (サービスプレフィックス: cloudtrail) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS CloudTrailで定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN または パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddTags 1 つ以上のタグを証跡、イベントデータストア、チャネル、またはダッシュボードに追加するためのアクセス許可を付与します。上限は 50 です。 タグ付け

channel

dashboard

eventdatastore

trail

aws:RequestTag/${TagKey}

aws:TagKeys

CancelQuery 実行中のクエリをキャンセルする許可を付与。 書き込み

eventdatastore*

CreateChannel チャネルを作成する許可を付与 書き込み

channel*

cloudtrail:AddTags

eventdatastore*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDashboard ダッシュボードを作成する許可を付与 書き込み

dashboard*

cloudtrail:AddTags

cloudtrail:StartDashboardRefresh

cloudtrail:StartQuery

aws:RequestTag/${TagKey}

aws:TagKeys

CreateEventDataStore イベントデータストアを作成する許可を付与 書き込み

eventdatastore*

cloudtrail:AddTags

iam:CreateServiceLinkedRole

iam:GetRole

kms:Decrypt

kms:GenerateDataKey

organizations:ListAWSServiceAccessForOrganization

aws:RequestTag/${TagKey}

aws:TagKeys

CreateServiceLinkedChannel[アクセス許可のみ] サービスへのログデータの配信設定を指定する AWS サービスにリンクされたチャネルを作成するアクセス許可を付与します 書き込み

channel*

CreateTrail Amazon S3 バケットにログデータを配信するための設定を指定する証跡を作成する許可を付与。 書き込み

trail*

cloudtrail:AddTags

iam:CreateServiceLinkedRole

iam:GetRole

organizations:ListAWSServiceAccessForOrganization

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteChannel チャネルを削除する許可を付与。 書き込み

channel*

DeleteDashboard ダッシュボードを削除する許可を付与 書き込み

dashboard*

DeleteEventDataStore イベントデータストアを削除する許可を付与 書き込み

eventdatastore*

DeleteResourcePolicy 指定されたリソースからリソースポリシーを削除するための許可を付与します 書き込み

channel

dashboard

eventdatastore

DeleteServiceLinkedChannel[アクセス許可のみ] サービスにリンクされたチャンネルを削除するアクセス許可を付与 書き込み

channel*

DeleteTrail 証跡を削除する許可を付与。 書き込み

trail*

DeregisterOrganizationDelegatedAdmin AWS Organizations メンバーアカウントを委任管理者として登録解除する許可を付与 書き込み

organizations:DeregisterDelegatedAdministrator

organizations:ListAWSServiceAccessForOrganization

DescribeQuery クエリの詳細を一覧表示する許可を付与 読み込み

eventdatastore*

DescribeTrails アカウントに設定されている現在のリージョンに関連付けられている証跡の設定を一覧表示する許可を付与。 読み取り
DisableFederation AWS Glue データカタログを使用してイベントデータストアデータのフェデレーションを無効にするアクセス許可を付与します 書き込み

eventdatastore*

glue:DeleteDatabase

glue:DeleteTable

glue:PassConnection

lakeformation:DeregisterResource

lakeformation:RegisterResource

EnableFederation AWS Glue データカタログを使用してイベントデータストアデータのフェデレーションを有効にするアクセス許可を付与します 書き込み

eventdatastore*

glue:CreateDatabase

glue:CreateTable

iam:GetRole

iam:PassRole

lakeformation:DeregisterResource

lakeformation:RegisterResource

GenerateQuery CloudTrail Lake クエリジェネレーターを使用して、指定されたイベントデータストアのクエリを生成するアクセス許可を付与します 書き込み

eventdatastore*

GenerateQueryResultsSummary[アクセス許可のみ] CloudTrail 自然言語ジェネレーターを使用して、指定されたクエリの結果概要を生成するアクセス許可を付与します 読み取り

eventdatastore*

cloudtrail:GetQueryResults

kms:Decrypt

kms:GenerateDataKey

GetChannel 特定のチャネルについての情報を返すアクセス許可を付与 読み取り

channel*

GetDashboard ダッシュボードの設定を一覧表示する許可を付与 読み取り

dashboard*

GetEventDataStore イベントデータストアの設定を一覧表示する許可を付与 読み取り

eventdatastore*

GetEventDataStoreData AWS Glue データカタログを使用してイベントデータストアからデータを取得するアクセス許可を付与します 読み取り

eventdatastore*

kms:Decrypt

kms:GenerateDataKey

GetEventSelectors 証跡用に設定されたイベントセレクタの設定を一覧表示する許可を付与。 読み取り

trail*

GetImport 特定のインポートについての情報を返すアクセス許可を付与 読み取り
GetInsightSelectors 証跡またはイベントデータストア用に設定された CloudTrail Insights セレクタを一覧表示するアクセス許可を付与します 読み取り

eventdatastore

trail

GetQueryResults 完了したクエリの結果を取得する許可を付与 読み取り

eventdatastore*

kms:Decrypt

kms:GenerateDataKey

GetResourcePolicy 指定されたリソースにアタッチされたリソースポリシーを取得するための許可を付与します 読み取り

channel

dashboard

eventdatastore

GetServiceLinkedChannel[アクセス許可のみ] サービスにリンクされたチャンネルの設定を一覧表示するアクセス許可を付与 読み取り

channel*

GetTrail 証跡の設定を一覧表示する許可を付与。 読み取り

trail*

GetTrailStatus 指定された証跡に関する情報の JSON 形式のリストを取得するアクセス許可を付与します 読み取り

trail*

ListChannels 現在のアカウントでチャンネル、およびそのソース名を一覧表示するアクセス許可を付与 リスト
ListDashboards アカウントの現在のリージョンに関連付けられているダッシュボードを一覧表示するアクセス許可を付与します リスト
ListEventDataStores アカウントの現在のリージョンに関連付けられたイベントデータストアを一覧表示する許可を付与 リスト
ListImportFailures 指定したインポートの失敗のリストを返すアクセス許可を付与 読み取り
ListImports すべてのインポート、または ImportStatus または送信先による選択したインポートセットに関する情報を返すアクセス許可を付与します リスト
ListPublicKeys 指定された時間範囲内の、対応するプライベートキーが証跡ダイジェストファイルの署名に使用されたパブリックキーを一覧表示する許可を付与。 読み込み
ListQueries イベントデータストアに関連付けられたクエリを一覧表示する許可を付与 リスト

eventdatastore*

ListServiceLinkedChannels[アクセス許可のみ] 指定されたアカウントの、現在のリージョンに関連付けられている、サービスにリンクされたチャンネルを一覧表示するアクセス許可を付与 リスト
ListTags 現在のリージョンの証跡、イベントデータストア、チャネル、またはダッシュボードのタグを一覧表示するアクセス許可を付与します 読み取り

channel

dashboard

eventdatastore

trail

ListTrails アカウントに設定されている現在のリージョンに関連付けられている証跡を一覧表示する許可を付与。 リスト
LookupEvents アカウント内のリソースを作成、更新、または削除する API によってキャプチャされた CloudTrail アクティビティイベントのメトリクスデータを検索および取得するアクセス許可を付与します 読み取り
PutEventSelectors 証跡のイベントセレクタを作成および更新する許可を付与。 書き込み

trail*

PutInsightSelectors 証跡またはイベントデータストアの CloudTrail Insights セレクタを作成および更新するアクセス許可を付与します 書き込み

eventdatastore

trail

PutResourcePolicy 指定されたリソースにリソースポリシーをアタッチするための許可を付与します 書き込み

channel

dashboard

eventdatastore

RegisterOrganizationDelegatedAdmin AWS Organizations メンバーアカウントを委任管理者として登録するアクセス許可を付与します 書き込み

iam:CreateServiceLinkedRole

iam:GetRole

organizations:ListAWSServiceAccessForOrganization

organizations:RegisterDelegatedAdministrator

RemoveTags 証跡、イベントデータストア、チャネル、またはダッシュボードからタグを削除するアクセス許可を付与します タグ付け

channel

dashboard

eventdatastore

trail

aws:TagKeys

RestoreEventDataStore イベントデータストアを復元する許可を付与 書き込み

eventdatastore*

StartDashboardRefresh 指定されたダッシュボードで更新を開始する許可を付与 書き込み

dashboard*

cloudtrail:StartQuery

StartEventDataStoreIngestion イベントデータストアで取り込みを開始する許可を付与 書き込み

eventdatastore*

StartImport ログに記録されたトレイルイベントのソース S3 バケットから宛先のイベントデータストアへのインポートを開始するアクセス許可を付与 書き込み
StartLogging 証跡の AWS API 呼び出しとログファイルの配信の記録を開始するアクセス許可を付与します 書き込み

trail*

StartQuery 指定したイベントデータストアで新しいクエリを開始する許可を付与 書き込み

eventdatastore*

kms:Decrypt

kms:GenerateDataKey

StopEventDataStoreIngestion イベントデータストアで取り込みを停止する許可を付与 書き込み

eventdatastore*

StopImport 指定されたインポートを停止するアクセス許可を付与 書き込み
StopLogging 証跡の AWS API 呼び出しとログファイルの配信の記録を停止するアクセス許可を付与します 書き込み

trail*

UpdateChannel チャネルを更新する許可を付与 書き込み

channel*

UpdateDashboard ダッシュボードを更新する許可を付与 書き込み

dashboard*

cloudtrail:StartDashboardRefresh

cloudtrail:StartQuery

UpdateEventDataStore イベントデータストアを更新する許可を付与 書き込み

eventdatastore*

iam:CreateServiceLinkedRole

iam:GetRole

kms:Decrypt

kms:GenerateDataKey

organizations:ListAWSServiceAccessForOrganization

UpdateServiceLinkedChannel[アクセス許可のみ] サービスにログデータを配信するために AWS 、サービスにリンクされたチャネル設定を更新するアクセス許可を付与します 書き込み

channel*

UpdateTrail ログファイルの配信を指定する設定を更新する許可を付与。 書き込み

trail*

iam:CreateServiceLinkedRole

iam:GetRole

organizations:ListAWSServiceAccessForOrganization

AWS CloudTrail で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

注記

CloudTrail アクションへのアクセスを制御するポリシーの場合、リソース要素は常に「*」に設定されます。ARNs ポリシーでリソースIAMを使用する方法については、「 AWS CloudTrail ユーザーガイド」の「How AWS CloudTrail works with IAM」を参照してください。

リソースタイプ ARN 条件キー
trail arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}

aws:ResourceTag/${TagKey}

eventdatastore arn:${Partition}:cloudtrail:${Region}:${Account}:eventdatastore/${EventDataStoreId}

aws:ResourceTag/${TagKey}

channel arn:${Partition}:cloudtrail:${Region}:${Account}:channel/${ChannelId}

aws:ResourceTag/${TagKey}

dashboard arn:${Partition}:cloudtrail:${Region}:${Account}:dashboard/${DashboardName}

aws:ResourceTag/${TagKey}

AWS CloudTrail の条件キー

AWS CloudTrail では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアによるアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーでアクセスをフィルタリングします ArrayOfString