AWS Elastic ディザスタリカバリに対するアクション、リソースおよび条件キー - サービス認証リファレンス

AWS Elastic ディザスタリカバリに対するアクション、リソースおよび条件キー

AWS Elastic Disaster 回復 (サービスプレフィックス: drs) では、以下のサービス固有のリソース、アクションおよび条件コンテキストキーが用意されており、IAM アクセス許可ポリシーでの使用が可能です。

リファレンス:

AWSElastic 災害回復で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateFailbackClientToRecoveryInstanceForDrs [アクセス許可のみ] リカバリインスタンスに関連付けるフェイルバッククライアントを取得する権限を付与します。 書き込み

RecoveryInstanceResource*

BatchCreateVolumeSnapshotGroupForDrs [アクセス許可のみ] ボリュームスナップショットグループを一括で作成する許可を付与します。 書き込み

RecoveryInstanceResource*

SourceServerResource*

BatchDeleteSnapshotRequestForDrs [アクセス許可のみ] スナップショットのリクエストを一括で削除する許可を付与。 書き込み
CreateConvertedSnapshotForDrs [アクセス許可のみ] スナップショット設定を更新する許可を付与します。変換されたスナップショットを作成する許可を付与します 書き込み

SourceServerResource*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateExtendedSourceServer ソースサーバーを拡張する許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRecoveryInstanceForDrs [アクセス許可のみ] リカバリインスタンスを作成するためのアクセス許可を付与します。 書き込み

SourceServerResource*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateReplicationConfigurationTemplate レプリケーション構成テンプレートを作成する許可を付与。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSessionForDrs セッションを作成するためのアクセス許可を付与する 書き込み
CreateSourceServerForDrs [アクセス許可のみ] ソースサーバーを作成する許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteJob ジョブを削除する許可を付与 書き込み

JobResource*

DeleteRecoveryInstance 回復インスタンスを削除する許可を付与します。 書き込み

RecoveryInstanceResource*

DeleteReplicationConfigurationTemplate レプリケーション構成テンプレートを削除する許可を付与。 書き込み

ReplicationConfigurationTemplateResource*

DeleteSourceServer ソースサーバーを削除する許可を付与。 書き込み

SourceServerResource*

DescribeJobLogItems ジョブログ項目を説明する許可を付与。 読み込み

JobResource*

DescribeJobs ジョブを記述する許可を付与。 読み込み
DescribeRecoveryInstances リカバリインスタンスを記述するアクセス権限を付与します。 読み込み

ec2:DescribeInstances

DescribeRecoverySnapshots リカバリスナップショットを記述するアクセス権限を付与します。 読み込み

SourceServerResource*

DescribeReplicationConfigurationTemplates レプリケーション構成テンプレートを記述する許可を付与。 読み込み
DescribeReplicationServerAssociationsForDrs [アクセス許可のみ] レプリケーションサーバーの関連付けを記述する許可を付与。 読み込み
DescribeSnapshotRequestsForDrs [アクセス許可のみ] スナップショットのリクエストを記述する許可を付与します。 読み込み
DescribeSourceServers ソースサーバーを記述する許可を付与。 読み込み
DisconnectRecoveryInstance リカバリインスタンスを切断するアクセス許可を付与します。 書き込み

RecoveryInstanceResource*

DisconnectSourceServer ソースサーバーの接続を切るアクセス許可を付与します。 書き込み

SourceServerResource*

GetAgentCommandForDrs [アクセス許可のみ] エージェントコマンドを取得する許可を付与。 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentConfirmedResumeInfoForDrs [アクセス許可のみ] エージェントに確認済みの再開情報を取得する許可を付与。 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentInstallationAssetsForDrs [アクセス許可のみ] エージェントのインストールアセットを取得する許可を付与。 読み込み
GetAgentReplicationInfoForDrs [アクセス許可のみ] エージェントレプリケーション情報を取得する許可を付与。 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentRuntimeConfigurationForDrs [アクセス許可のみ] エージェントのランタイム設定を取得する許可を付与。 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentSnapshotCreditsForDrs [アクセス許可のみ] エージェントスナップショットのクレジットを取得する許可を付与します。 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetChannelCommandsForDrs [アクセス許可のみ] チャネルコマンドを取得する許可を付与。 読み込み
GetFailbackCommandForDrs [アクセス許可のみ] フェイルバックコマンドを取得する許可を付与します。 読み込み

RecoveryInstanceResource*

GetFailbackLaunchRequestedForDrs [アクセス許可のみ] フェイルバック起動を要求するアクセス許可を付与します。 読み込み

RecoveryInstanceResource*

GetFailbackReplicationConfiguration フェイルバックレプリケーション構成を取得する許可を付与します。 読み込み

RecoveryInstanceResource*

GetLaunchConfiguration 起動設定を取得する許可を付与。 読み込み

SourceServerResource*

GetReplicationConfiguration レプリケーション構成を取得する許可を付与。 読み込み

SourceServerResource*

GetSuggestedFailbackClientDeviceMappingForDrs [アクセス許可のみ] 推奨されるフェイルバッククライアントデバイスマッピングを取得するアクセス許可を付与します。 読み込み

RecoveryInstanceResource*

InitializeService サービスを初期化する許可を付与。 書き込み

iam:AddRoleToInstanceProfile

iam:CreateInstanceProfile

iam:CreateServiceLinkedRole

iam:GetInstanceProfile

IssueAgentCertificateForDrs エージェント証明書を発行するアクセス許可を付与します。 書き込み

RecoveryInstanceResource*

SourceServerResource*

ListExtensibleSourceServers 拡張可能なソースサーバーを一覧表示する許可を付与します 読み取り
ListStagingAccounts ステージングアカウントを一覧表示する許可を付与します 読み取り
ListTagsForResource リソースのタグを一覧表示する許可を付与。 読み込み
NotifyAgentAuthenticationForDrs [アクセス許可のみ] エージェント認証を通知する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyAgentConnectedForDrs [アクセス許可のみ] エージェントが接続されていることを通知する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyAgentDisconnectedForDrs [アクセス許可のみ] エージェントの切断を通知する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyAgentReplicationProgressForDrs [アクセス許可のみ] エージェントのレプリケーションの進行状況を通知する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyConsistencyAttainedForDrs [アクセス許可のみ] 一貫性があることを通知する許可を付与します。 書き込み

RecoveryInstanceResource*

NotifyReplicationServerAuthenticationForDrs [アクセス許可のみ] レプリケーションサーバー認証を通知するアクセス許可を付与します。 書き込み

RecoveryInstanceResource*

RetryDataReplication データレプリケーションを再試行する許可を付与します。 書き込み

SourceServerResource*

SendAgentLogsForDrs [アクセス許可のみ] エージェントログを送信する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

SendAgentMetricsForDrs [アクセス許可のみ] エージェントメトリックを送信する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

SendChannelCommandResultForDrs [アクセス許可のみ] チャネルコマンドの結果を送信する許可を付与。 書き込み
SendClientLogsForDrs [アクセス許可のみ] クライアントログを送信する許可を付与。 書き込み
SendClientMetricsForDrs [アクセス許可のみ] クライアントメトリックを送信する許可を付与。 書き込み
StartFailbackLaunch フェイルバック起動を開始するアクセス許可を付与します。 書き込み

RecoveryInstanceResource*

aws:RequestTag/${TagKey}

aws:TagKeys

StartRecovery リカバリを開始するアクセス許可を付与します。 書き込み

SourceServerResource*

drs:CreateRecoveryInstanceForDrs

drs:ListTagsForResource

ec2:AttachVolume

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateLaunchTemplate

ec2:CreateLaunchTemplateVersion

ec2:CreateSnapshot

ec2:CreateTags

ec2:CreateVolume

ec2:DeleteLaunchTemplateVersions

ec2:DeleteSnapshot

ec2:DeleteVolume

ec2:DescribeAccountAttributes

ec2:DescribeAvailabilityZones

ec2:DescribeImages

ec2:DescribeInstanceAttribute

ec2:DescribeInstanceStatus

ec2:DescribeInstanceTypes

ec2:DescribeInstances

ec2:DescribeLaunchTemplateVersions

ec2:DescribeLaunchTemplates

ec2:DescribeSecurityGroups

ec2:DescribeSnapshots

ec2:DescribeSubnets

ec2:DescribeVolumes

ec2:DetachVolume

ec2:ModifyInstanceAttribute

ec2:ModifyLaunchTemplate

ec2:RevokeSecurityGroupEgress

ec2:RunInstances

ec2:StartInstances

ec2:StopInstances

ec2:TerminateInstances

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

StopFailback フェイルバックを停止するアクセス権限を付与します。 書き込み

RecoveryInstanceResource*

TagResource リソースタグを割り当てるアクセス許可を付与します。 タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

drs:CreateAction

TerminateRecoveryInstances ターゲットインスタンスを終了する許可を付与します。 書き込み

RecoveryInstanceResource*

ec2:DeleteVolume

ec2:DescribeInstances

ec2:DescribeVolumes

ec2:TerminateInstances

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースのタグを解除する許可を付与 タグ付け

aws:TagKeys

UpdateAgentBacklogForDrs [アクセス許可のみ] エージェントのバックログを更新する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentConversionInfoForDrs [アクセス許可のみ] エージェント変換情報を更新する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentReplicationInfoForDrs [アクセス許可のみ] エージェントレプリケーション情報を更新する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentReplicationProcessStateForDrs [アクセス許可のみ] エージェントレプリケーションプロセスの状態を更新する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentSourcePropertiesForDrs [アクセス許可のみ] エージェントのソースプロパティを更新する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateFailbackClientDeviceMappingForDrs [アクセス許可のみ] フェイルバッククライアントデバイスマッピングを更新するアクセス許可を付与します。 書き込み

RecoveryInstanceResource*

UpdateFailbackClientLastSeenForDrs [アクセス許可のみ] 最後に検出されたフェールバッククライアントを更新するアクセス許可を付与します。 書き込み

RecoveryInstanceResource*

UpdateFailbackReplicationConfiguration フェイルバックレプリケーション構成を更新する許可を付与します。 書き込み

RecoveryInstanceResource*

UpdateLaunchConfiguration 起動設定を更新する許可を付与。 書き込み

SourceServerResource*

UpdateReplicationCertificateForDrs [アクセス許可のみ] レプリケーション証明書を更新するためのアクセス許可を付与します。 書き込み

RecoveryInstanceResource*

UpdateReplicationConfiguration レプリケーション構成を更新する許可を付与。 書き込み

SourceServerResource*

UpdateReplicationConfigurationTemplate レプリケーション構成テンプレートを更新する許可を付与。 書き込み

ReplicationConfigurationTemplateResource*

AWSElastic 災害回復で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
JobResource arn:${Partition}:drs:${Region}:${Account}:job/${JobID}

aws:ResourceTag/${TagKey}

RecoveryInstanceResource arn:${Partition}:drs:${Region}:${Account}:recovery-instance/${RecoveryInstanceID}

aws:ResourceTag/${TagKey}

drs:EC2InstanceARN

ReplicationConfigurationTemplateResource arn:${Partition}:drs:${Region}:${Account}:replication-configuration-template/${ReplicationConfigurationTemplateID}

aws:ResourceTag/${TagKey}

SourceServerResource arn:${Partition}:drs:${Region}:${Account}:source-server/${SourceServerID}

aws:ResourceTag/${TagKey}

AWSElastic 災害回復の条件キー

AWS Elastic Disaster Recoveryでは、ConditionIAM ポリシーの 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします。 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString
drs:CreateAction リソース作成 API アクションの名前によってアクセスをフィルタリングします 文字列
drs:EC2InstanceARN リクエストが発生したEC2インスタンス によってアクセスをフィルタリングします。 文字列