AWS DataSync のアクション、リソース、および条件キー

AWS DataSync （サービスプレフィックス: datasync) では、アクセスIAM許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

このサービスを設定する方法について説明します。
API このサービスで使用可能なオペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

AWS DataSyncで定義されるアクション
AWS DataSync で定義されるリソースタイプ
AWS DataSync の条件キー

AWS DataSyncで定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前のAPIオペレーションまたはCLIコマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ARNそのアクションを含むステートメントでそのタイプのを指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARNまたはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー
AddStorageSystem	ストレージシステムを作成する許可を付与	書き込み	agent*
AddStorageSystem	ストレージシステムを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
CancelTaskExecution	同期タスクの実行をキャンセルする許可を付与	書き込み	taskexecution*
CancelTaskExecution	同期タスクの実行をキャンセルする許可を付与	書き込み		aws:ResourceTag/${TagKey}
CreateAgent	ホストにデプロイしたエージェントをアクティブ化する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationAzureBlob	Microsoft Azure Blob ストレージコンテナのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationEfs	Amazon EFS ファイルシステムのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxLustre	Amazon FSx Lustre エンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxOntap	Amazon FSx for のエンドポイントを作成する許可を付与 ONTAP	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxOpenZfs	Amazon FSx for Open のエンドポイントを作成する許可を付与ZFS	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxWindows	Amazon FSx Windows File Server ファイルシステムのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationHdfs	Amazon Hdfs エンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationNfs	NFS ファイルシステムのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationObjectStorage	セルフマネージドオブジェクトストレージバケットのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationS3	Amazon S3 バケットのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationSmb	SMB ファイルシステムのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateTask	同期タスクを作成する許可を付与	書き込み	location*
			agent
				aws:RequestTag/${TagKey} aws:TagKeys
DeleteAgent	エージェントを削除する許可を付与	書き込み	agent*
DeleteLocation	が使用する場所を削除する許可を付与 AWS DataSync	書き込み	location*
DeleteTask	同期タスクを削除する許可を付与	書き込み	task*
DescribeAgent	同期エージェントに関する、名前、ネットワークインターフェイス、ステータス (エージェントが実行されているかどうか) などのメタデータを表示するためのアクセス許可を付与します	読み取り	agent*
DescribeDiscoveryJob	検出ジョブに関するメタデータを記述する許可を付与	読み取り	discoveryjob*
DescribeLocationAzureBlob	Azure Blob ストレージ同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationEfs	Amazon EFS同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationFsxLustre	Amazon FSx Lustre 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationFsxOntap	ONTAP 同期場所FSxの Amazon に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationFsxOpenZfs	Amazon FSx OpenZFS 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationFsxWindows	Amazon FSx Windows 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationHdfs	Amazon HDFS同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationNfs	NFS 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationObjectStorage	セルフマネージドオブジェクトストレージサーバーの場所に関するメタデータを表示する許可を付与	読み込み	location*
DescribeLocationS3	Amazon S3 バケットの同期場所に関する、バケット名などのメタデータを表示する許可を付与	読み取り	location*
DescribeLocationSmb	SMB 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み取り	location*
DescribeStorageSystem	ストレージシステムに関するメタデータを表示する許可を付与	読み取り	storagesystem*
DescribeStorageSystemResourceMetrics	検出ジョブによって収集されたリソースメトリクスを記述する許可を付与	リスト	discoveryjob*
DescribeStorageSystemResources	検出ジョブによって識別されたリソースを記述する許可を付与	リスト	discoveryjob*
DescribeTask	同期タスクに関するメタデータを表示する許可を付与	読み込み	task*
DescribeTaskExecution	実行中の同期タスクに関するメタデータを表示する許可を付与	読み取り	taskexecution*
DescribeTaskExecution	実行中の同期タスクに関するメタデータを表示する許可を付与	読み取り		aws:ResourceTag/${TagKey}
GenerateRecommendations	検出ジョブによって識別されたリソースのレコメンデーションを生成する許可を付与	書き込み	discoveryjob*
ListAgents	リクエストで指定されたリージョン AWS アカウントでが所有するエージェントを一覧表示する許可を付与	リスト
ListDiscoveryJobs	検出ジョブを一覧表示する許可を付与	リスト
ListLocations	同期元と同期先の場所を一覧表示する許可を付与	リスト
ListStorageSystems	ストレージシステムを一覧表示する許可を付与	リスト
ListTagsForResource	指定されたリソースに追加されたタグを一覧表示するためのアクセス許可を付与します	読み込み	agent
			discoveryjob
			location
			storagesystem
			task
			taskexecution
ListTaskExecutions	実行された同期タスクを一覧表示する許可を付与	リスト		aws:ResourceTag/${TagKey}
ListTasks	すべての同期タスクを一覧表示する許可を付与	リスト
RemoveStorageSystem	ストレージシステムを削除する許可を付与	書き込み	storagesystem*
StartDiscoveryJob	ストレージシステムの検出ジョブを開始する許可を付与	書き込み	storagesystem*
StartTaskExecution	同期タスクの特定の呼び出しを開始する許可を付与	書き込み	task*
StartTaskExecution	同期タスクの特定の呼び出しを開始する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
StopDiscoveryJob	検出ジョブを停止する許可を付与	書き込み	discoveryjob*
TagResource	AWS リソースにキーと値のペアを適用する許可を付与	Tagging	agent
			discoveryjob
			location
			storagesystem
			task
			taskexecution
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	指定されたリソースから 1 つ以上のタグを削除する権限を付与します	Tagging	agent
			discoveryjob
			location
			storagesystem
			task
			taskexecution
				aws:TagKeys
UpdateAgent	エージェントの名前を更新する許可を付与	書き込み	agent*
UpdateDiscoveryJob	検出ジョブを更新する許可を付与	書き込み	discoveryjob*
UpdateLocationAzureBlob	Azure Blob ストレージ同期場所を更新する許可を付与	書き込み	location*
UpdateLocationHdfs	HDFS 同期場所を更新する許可を付与	書き込み	location*
UpdateLocationNfs	NFS 同期場所を更新する許可を付与	書き込み	location*
UpdateLocationObjectStorage	セルフマネージドオブジェクトストレージサーバーの場所を更新する許可を付与	書き込み	location*
UpdateLocationSmb	SMB 同期場所を更新する許可を付与	書き込み	location*
UpdateStorageSystem	ストレージシステムを更新する許可を付与	書き込み	storagesystem*
UpdateTask	同期タスクに関連付けられたメタデータを更新する許可を付与	書き込み	task*
UpdateTaskExecution	同期タスクの実行を更新する許可を付与	書き込み	taskexecution*
UpdateTaskExecution	同期タスクの実行を更新する許可を付与	書き込み		aws:ResourceTag/${TagKey}

AWS DataSync で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
agent	`arn:${Partition}:datasync:${Region}:${AccountId}:agent/${AgentId}`	aws:ResourceTag/${TagKey}
location	`arn:${Partition}:datasync:${Region}:${AccountId}:location/${LocationId}`	aws:ResourceTag/${TagKey}
task	`arn:${Partition}:datasync:${Region}:${AccountId}:task/${TaskId}`	aws:ResourceTag/${TagKey}
taskexecution	`arn:${Partition}:datasync:${Region}:${AccountId}:task/${TaskId}/execution/${ExecutionId}`	aws:ResourceTag/${TagKey}
storagesystem	`arn:${Partition}:datasync:${Region}:${AccountId}:system/${StorageSystemId}`	aws:ResourceTag/${TagKey}
discoveryjob	`arn:${Partition}:datasync:${Region}:${AccountId}:system/${StorageSystemId}/job/${DiscoveryJobId}`	aws:ResourceTag/${TagKey}

AWS DataSync の条件キー

AWS DataSync は、 IAMポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエスト内のタグキーと値のペアによるアクセスをフィルタリングします	文字列
aws:ResourceTag/${TagKey}	リソースに関連付けられたタグキーと値のペアでアクセスをフィルタリングします	文字列
aws:TagKeys	リクエスト内のタグキーでアクセスをフィルタリングします	ArrayOfString

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Database Query Metadata Service

Amazon DataZone