AWS DataSync のアクション、リソース、および条件キー

AWS DataSync (サービスプレフィックス: datasync) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

• このサービスを設定する方法について説明します。

• このサービスで使用可能な API オペレーションのリストを表示します。

• IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

AWS DataSync で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー	依存アクション
AddStorageSystem	ストレージシステムを作成する許可を付与	書き込み	agent*
				aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
CancelTaskExecution	同期タスクの実行をキャンセルする許可を付与	書き込み	taskexecution*
				aws:ResourceTag/${TagKey}
CreateAgent	ホストにデプロイしたエージェントをアクティブ化する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationAzureBlob	Microsoft Azure Blob ストレージコンテナのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationEfs	Amazon EFS ファイルシステムのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxLustre	Amazon FSx Lustre エンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxOntap	Amazon FSx for ONTAP エンドポイントを作成する許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxOpenZfs	Amazon FSx for OpenZFS エンドポイントを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationFsxWindows	Amazon FSx Windows ファイルサーバーファイルシステムのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationHdfs	Amazon Hdfs エンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationNfs	NFS ファイルシステム用のエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationObjectStorage	セルフマネージドオブジェクトストレージバケットのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationS3	Amazon S3 バケットのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLocationSmb	SMB ファイルシステムのエンドポイントを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateTask	同期タスクを作成する許可を付与	書き込み	location*
			agent
				aws:RequestTag/${TagKey} aws:TagKeys
DeleteAgent	エージェントを削除する許可を付与	書き込み	agent*
DeleteLocation	AWS DataSync によって使用されている場所を削除するアクセス許可を付与します	書き込み	location*
DeleteTask	同期タスクを削除する許可を付与	書き込み	task*
DescribeAgent	同期エージェントに関する、名前、ネットワークインターフェイス、ステータス (エージェントが実行されているかどうか) などのメタデータを表示するためのアクセス許可を付与します	読み込み	agent*
DescribeDiscoveryJob	検出ジョブに関するメタデータを記述する許可を付与	読み込み	discoveryjob*
DescribeLocationAzureBlob	Azure Blob ストレージ同期場所に関するパス情報などのメタデータを表示する許可を付与	読み込み	location*
DescribeLocationEfs	Amazon EFS 同期場所に関するパス情報など、メタデータを表示する許可を付与	読み込み	location*
DescribeLocationFsxLustre	Amazon FSx Lustre 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み込み	location*
DescribeLocationFsxOntap	Amazon FSx for ONTAP 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み込み	location*
DescribeLocationFsxOpenZfs	Amazon FSx OpenZFS 同期場所に関するパス情報などのメタデータを表示するアクセス許可を付与します	読み込み	location*
DescribeLocationFsxWindows	Amazon FSx Windows の同期場所に関するパス情報などのメタデータを表示する許可を付与	読み込み	location*
DescribeLocationHdfs	Amazon HDFS 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み込み	location*
DescribeLocationNfs	NFS 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み込み	location*
DescribeLocationObjectStorage	セルフマネージドオブジェクトストレージサーバーの場所に関するメタデータを表示する許可を付与	読み込み	location*
DescribeLocationS3	Amazon S3 バケットの同期場所に関する、バケット名などのメタデータを表示する許可を付与	読み込み	location*
DescribeLocationSmb	SMB 同期場所に関するパス情報などのメタデータを表示する許可を付与	読み込み	location*
DescribeStorageSystem	ストレージシステムに関するメタデータを表示する許可を付与	読み込み	storagesystem*
DescribeStorageSystemResourceMetrics	検出ジョブによって収集されたリソースメトリクスを記述する許可を付与	リスト	discoveryjob*
DescribeStorageSystemResources	検出ジョブによって識別されたリソースを記述する許可を付与	リスト	discoveryjob*
DescribeTask	同期タスクに関するメタデータを表示する許可を付与	読み込み	task*
DescribeTaskExecution	実行中の同期タスクに関するメタデータを表示する許可を付与	読み込み	taskexecution*
				aws:ResourceTag/${TagKey}
GenerateRecommendations	検出ジョブによって識別されたリソースのレコメンデーションを生成する許可を付与	書き込み	discoveryjob*
ListAgents	リクエストで指定されたリージョンの AWS アカウント が所有するエージェントを一覧表示するアクセス許可を付与します	リスト
ListDiscoveryJobs	検出ジョブを一覧表示する許可を付与	リスト
ListLocations	同期元と同期先の場所を一覧表示する許可を付与	リスト
ListStorageSystems	ストレージシステムを一覧表示する許可を付与	リスト
ListTagsForResource	指定されたリソースに追加されたタグを一覧表示するためのアクセス許可を付与します	読み込み	agent
			discoveryjob
			location
			storagesystem
			task
			taskexecution
ListTaskExecutions	実行された同期タスクを一覧表示する許可を付与	リスト		aws:ResourceTag/${TagKey}
ListTasks	すべての同期タスクを一覧表示する許可を付与	リスト
RemoveStorageSystem	ストレージシステムを削除する許可を付与	書き込み	storagesystem*
StartDiscoveryJob	ストレージシステムの検出ジョブを開始する許可を付与	書き込み	storagesystem*
StartTaskExecution	同期タスクの特定の呼び出しを開始する許可を付与	書き込み	task*
				aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
StopDiscoveryJob	検出ジョブを停止する許可を付与	書き込み	discoveryjob*
TagResource	キーと値のペアを AWS リソースに適用するアクセス許可を付与します	タグ付け	agent
			discoveryjob
			location
			storagesystem
			task
			taskexecution
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	指定されたリソースから 1 つ以上のタグを削除する権限を付与します	タグ付け	agent
			discoveryjob
			location
			storagesystem
			task
			taskexecution
				aws:TagKeys
UpdateAgent	エージェントの名前を更新する許可を付与	書き込み	agent*
UpdateDiscoveryJob	検出ジョブを更新する許可を付与	書き込み	discoveryjob*
UpdateLocationAzureBlob	Azure Blob ストレージ同期場所を更新する許可を付与	書き込み	location*
UpdateLocationHdfs	HDFS 同期場所を更新する許可を付与	書き込み	location*
UpdateLocationNfs	NFS 同期場所を更新する許可を付与	書き込み	location*
UpdateLocationObjectStorage	セルフマネージドオブジェクトストレージサーバーの場所を更新する許可を付与	書き込み	location*
UpdateLocationSmb	SMB 同期場所を更新するアクセス許可を付与	書き込み	location*
UpdateStorageSystem	ストレージシステムを更新する許可を付与	書き込み	storagesystem*
UpdateTask	同期タスクに関連付けられたメタデータを更新する許可を付与	書き込み	task*
UpdateTaskExecution	同期タスクの実行を更新する許可を付与	書き込み	taskexecution*
				aws:ResourceTag/${TagKey}

AWS DataSync で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
agent	arn:${Partition}:datasync:${Region}:${AccountId}:agent/${AgentId}	aws:ResourceTag/${TagKey}
location	arn:${Partition}:datasync:${Region}:${AccountId}:location/${LocationId}	aws:ResourceTag/${TagKey}
task	arn:${Partition}:datasync:${Region}:${AccountId}:task/${TaskId}	aws:ResourceTag/${TagKey}
taskexecution	arn:${Partition}:datasync:${Region}:${AccountId}:task/${TaskId}/execution/${ExecutionId}	aws:ResourceTag/${TagKey}
storagesystem	arn:${Partition}:datasync:${Region}:${AccountId}:system/${StorageSystemId}	aws:ResourceTag/${TagKey}
discoveryjob	arn:${Partition}:datasync:${Region}:${AccountId}:system/${StorageSystemId}/job/${DiscoveryJobId}	aws:ResourceTag/${TagKey}

AWS DataSync の条件キー

AWS DataSync では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエスト内のタグキーと値のペアによるアクセスをフィルタリング	文字列
aws:ResourceTag/${TagKey}	リソースに関連付けられたタグキーと値のペアでアクセスをフィルタリングします	文字列
aws:TagKeys	リクエスト内のタグキーでアクセスをフィルタリング	ArrayOfString