AWS Elastic ディザスタリカバリに対するアクション、リソースおよび条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Elastic ディザスタリカバリに対するアクション、リソースおよび条件キー

AWS Elastic Disaster Recovery (サービスプレフィックス: drs) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Elastic 災害回復で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN または パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateFailbackClientToRecoveryInstanceForDrs[アクセス許可のみ] リカバリインスタンスに関連付けるフェイルバッククライアントを取得するアクセス許可を付与 書き込み

RecoveryInstanceResource*

AssociateSourceNetworkStack CloudFormation スタックをソースネットワークに関連付けるアクセス許可を付与します 書き込み

SourceNetworkResource*

cloudformation:DescribeStackResource

cloudformation:DescribeStacks

drs:GetLaunchConfiguration

ec2:CreateLaunchTemplateVersion

ec2:DescribeLaunchTemplateVersions

ec2:DescribeLaunchTemplates

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:DescribeVpcs

ec2:ModifyLaunchTemplate

aws:RequestTag/${TagKey}

aws:TagKeys

BatchCreateVolumeSnapshotGroupForDrs[アクセス許可のみ] ボリュームスナップショットグループを一括で作成する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

BatchDeleteSnapshotRequestForDrs[アクセス許可のみ] スナップショットのリクエストを一括で削除する許可を付与。 書き込み
CreateConvertedSnapshotForDrs[アクセス許可のみ] スナップショット設定を更新する許可を付与変換されたスナップショットを作成する許可を付与 書き込み

SourceServerResource*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateExtendedSourceServer ソースサーバーを拡張する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

drs:DescribeSourceServers

drs:GetReplicationConfiguration

CreateLaunchConfigurationTemplate 起動設定テンプレートを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRecoveryInstanceForDrs[アクセス許可のみ] リカバリインスタンスを作成するためのアクセス許可を付与 書き込み

SourceServerResource*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateReplicationConfigurationTemplate レプリケーション構成テンプレートを作成する許可を付与。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:CreateSecurityGroup

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:GetEbsDefaultKmsKeyId

ec2:GetEbsEncryptionByDefault

kms:CreateGrant

kms:DescribeKey

CreateSourceNetwork ソースネットワークを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:DescribeInstances

ec2:DescribeVpcs

CreateSourceServerForDrs[アクセス許可のみ] ソースサーバーを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteJob ジョブを削除する許可を付与 書き込み

JobResource*

DeleteLaunchAction 起動アクションを削除するための許可を付与します 書き込み

LaunchConfigurationTemplateResource

SourceServerResource

DeleteLaunchConfigurationTemplate 起動設定テンプレートを削除する許可を付与 書き込み

LaunchConfigurationTemplateResource*

DeleteRecoveryInstance 回復インスタンスを削除する許可を付与 書き込み

RecoveryInstanceResource*

DeleteReplicationConfigurationTemplate レプリケーション構成テンプレートを削除する許可を付与 書き込み

ReplicationConfigurationTemplateResource*

DeleteSourceNetwork ソースネットワークを削除する許可を付与 書き込み

SourceNetworkResource*

DeleteSourceServer ソースサーバーを削除する許可を付与 書き込み

SourceServerResource*

DescribeJobLogItems ジョブログ項目を説明する許可を付与 読み込み

JobResource*

DescribeJobs ジョブを記述する許可を付与 読み取り
DescribeLaunchConfigurationTemplates 起動設定テンプレートを記述する許可を付与 読み取り
DescribeRecoveryInstances リカバリインスタンスを記述するアクセス許可を付与 読み込み

drs:DescribeSourceServers

ec2:DescribeInstances

DescribeRecoverySnapshots リカバリスナップショットを記述するアクセス許可を付与 読み込み

SourceServerResource*

DescribeReplicationConfigurationTemplates レプリケーション構成テンプレートを記述する許可を付与 読み込み
DescribeReplicationServerAssociationsForDrs[アクセス許可のみ] レプリケーションサーバーの関連付けを記述する許可を付与 読み込み
DescribeSnapshotRequestsForDrs[アクセス許可のみ] スナップショットのリクエストを記述する許可を付与 読み取り
DescribeSourceNetworks ソースネットワークを記述する許可を付与 読み取り
DescribeSourceServers ソースサーバーを記述する許可を付与 読み込み
DisconnectRecoveryInstance リカバリインスタンスを切断するアクセス許可を付与 書き込み

RecoveryInstanceResource*

DisconnectSourceServer ソースサーバーの接続を切るアクセス許可を付与 書き込み

SourceServerResource*

ExportSourceNetworkCfnTemplate ソースネットワークリソースを含む export CloudFormation テンプレートへのアクセス許可を付与します 書き込み

SourceNetworkResource*

s3:GetBucketLocation

s3:GetObject

s3:PutObject

aws:RequestTag/${TagKey}

aws:TagKeys

GetAgentCommandForDrs[アクセス許可のみ] エージェントコマンドを取得する許可を付与 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentConfirmedResumeInfoForDrs[アクセス許可のみ] エージェントに確認済みの再開情報を取得する許可を付与 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentInstallationAssetsForDrs[アクセス許可のみ] エージェントのインストールアセットを取得する許可を付与 読み込み
GetAgentReplicationInfoForDrs[アクセス許可のみ] エージェントレプリケーション情報を取得する許可を付与 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentRuntimeConfigurationForDrs[アクセス許可のみ] エージェントのランタイム設定を取得する許可を付与 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetAgentSnapshotCreditsForDrs[アクセス許可のみ] エージェントスナップショットのクレジットを取得する許可を付与 読み込み

RecoveryInstanceResource*

SourceServerResource*

GetChannelCommandsForDrs[アクセス許可のみ] チャネルコマンドを取得する許可を付与 読み込み
GetFailbackCommandForDrs[アクセス許可のみ] フェイルバックコマンドを取得する許可を付与 読み込み

RecoveryInstanceResource*

GetFailbackLaunchRequestedForDrs[アクセス許可のみ] フェイルバック起動を要求するアクセス許可を付与 読み込み

RecoveryInstanceResource*

GetFailbackReplicationConfiguration フェイルバックレプリケーション構成を取得する許可を付与 読み込み

RecoveryInstanceResource*

GetLaunchConfiguration 起動設定を取得する許可を付与。 読み込み

SourceServerResource*

GetReplicationConfiguration レプリケーション構成を取得する許可を付与 読み込み

SourceServerResource*

GetSuggestedFailbackClientDeviceMappingForDrs[アクセス許可のみ] 推奨されるフェイルバッククライアントデバイスマッピングを取得するアクセス許可を付与 読み込み

RecoveryInstanceResource*

InitializeService サービスを初期化する許可を付与 書き込み

iam:AddRoleToInstanceProfile

iam:CreateInstanceProfile

iam:CreateServiceLinkedRole

iam:GetInstanceProfile

IssueAgentCertificateForDrs[アクセス許可のみ] エージェント証明書を発行するアクセス許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

ListExtensibleSourceServers 拡張可能なソースサーバーを一覧表示する許可を付与 読み取り

drs:DescribeSourceServers

ListLaunchActions 起動アクションを一覧表示するための許可を付与します 読み取り

LaunchConfigurationTemplateResource

SourceServerResource

ListStagingAccounts ステージングアカウントを一覧表示する許可を付与 読み取り
ListTagsForResource リソースのタグを一覧表示する許可を付与 読み込み
NotifyAgentAuthenticationForDrs[アクセス許可のみ] エージェント認証を通知する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyAgentConnectedForDrs[アクセス許可のみ] エージェントが接続されていることを通知する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyAgentDisconnectedForDrs[アクセス許可のみ] エージェントの切断を通知する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyAgentReplicationProgressForDrs[アクセス許可のみ] エージェントのレプリケーションの進行状況を通知する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

NotifyConsistencyAttainedForDrs[アクセス許可のみ] 一貫性があることを通知する許可を付与 書き込み

RecoveryInstanceResource*

NotifyReplicationServerAuthenticationForDrs[アクセス許可のみ] レプリケーションサーバー認証を通知するアクセス許可を付与 書き込み

RecoveryInstanceResource*

NotifyVolumeEventForDrs[アクセス許可のみ] レプリケータ ボリューム イベントを通知する許可の付与 書き込み

SourceServerResource*

PutLaunchAction 起動アクションを設定するための許可を付与します 書き込み

LaunchConfigurationTemplateResource

ssm:DescribeDocument

SourceServerResource

RetryDataReplication データレプリケーションを再試行する許可を付与 書き込み

SourceServerResource*

ReverseReplication レプリケーションを取り消す許可を付与 書き込み

RecoveryInstanceResource*

drs:DescribeReplicationConfigurationTemplates

drs:DescribeSourceServers

ec2:DescribeInstances

aws:RequestTag/${TagKey}

aws:TagKeys

SendAgentLogsForDrs[アクセス許可のみ] エージェントログを送信する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

SendAgentMetricsForDrs[アクセス許可のみ] エージェントメトリックを送信する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

SendChannelCommandResultForDrs[アクセス許可のみ] チャネルコマンドの結果を送信する許可を付与 書き込み
SendClientLogsForDrs[アクセス許可のみ] クライアントログを送信する許可を付与 書き込み
SendClientMetricsForDrs[アクセス許可のみ] クライアントメトリックを送信する許可を付与 書き込み
SendVolumeStatsForDrs[アクセス許可のみ] ボリュームスループット統計を送信する許可の付与 書き込み

SourceServerResource*

StartFailbackLaunch フェイルバック起動を開始するアクセス許可を付与 書き込み

RecoveryInstanceResource*

aws:RequestTag/${TagKey}

aws:TagKeys

StartRecovery リカバリを開始するアクセス許可を付与 書き込み

SourceServerResource*

drs:CreateRecoveryInstanceForDrs

drs:ListTagsForResource

ec2:AttachVolume

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateLaunchTemplate

ec2:CreateLaunchTemplateVersion

ec2:CreateSnapshot

ec2:CreateTags

ec2:CreateVolume

ec2:DeleteLaunchTemplateVersions

ec2:DeleteSnapshot

ec2:DeleteVolume

ec2:DescribeAccountAttributes

ec2:DescribeAvailabilityZones

ec2:DescribeImages

ec2:DescribeInstanceAttribute

ec2:DescribeInstanceStatus

ec2:DescribeInstanceTypes

ec2:DescribeInstances

ec2:DescribeLaunchTemplateVersions

ec2:DescribeLaunchTemplates

ec2:DescribeSecurityGroups

ec2:DescribeSnapshots

ec2:DescribeSubnets

ec2:DescribeVolumes

ec2:DetachVolume

ec2:ModifyInstanceAttribute

ec2:ModifyLaunchTemplate

ec2:RevokeSecurityGroupEgress

ec2:RunInstances

ec2:StartInstances

ec2:StopInstances

ec2:TerminateInstances

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

StartReplication レプリケーションを開始する許可を付与 書き込み

SourceServerResource*

StartSourceNetworkRecovery ネットワークリカバリを開始する許可を付与 書き込み

SourceNetworkResource*

cloudformation:CreateStack

cloudformation:DescribeStackResource

cloudformation:DescribeStacks

cloudformation:UpdateStack

drs:GetLaunchConfiguration

ec2:CreateLaunchTemplateVersion

ec2:DescribeLaunchTemplateVersions

ec2:DescribeLaunchTemplates

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:DescribeVpcs

ec2:ModifyLaunchTemplate

s3:GetObject

s3:PutObject

aws:RequestTag/${TagKey}

aws:TagKeys

StartSourceNetworkReplication ネットワークのレプリケーションを開始する許可を付与 書き込み

SourceNetworkResource*

StopFailback フェイルバックを停止するアクセス許可を付与 書き込み

RecoveryInstanceResource*

StopReplication レプリケーションを停止する許可を付与 書き込み

SourceServerResource*

StopSourceNetworkReplication ネットワークのレプリケーションを停止する許可を付与 書き込み

SourceNetworkResource*

TagResource リソースタグを割り当てるアクセス許可を付与 タグ付け

JobResource

LaunchConfigurationTemplateResource

RecoveryInstanceResource

ReplicationConfigurationTemplateResource

SourceNetworkResource

SourceServerResource

aws:RequestTag/${TagKey}

aws:TagKeys

drs:CreateAction

TerminateRecoveryInstances ターゲットインスタンスを終了する許可を付与 書き込み

RecoveryInstanceResource*

drs:DescribeSourceServers

ec2:DeleteVolume

ec2:DescribeInstances

ec2:DescribeVolumes

ec2:TerminateInstances

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースのタグを解除する許可を付与 タグ付け

JobResource

LaunchConfigurationTemplateResource

RecoveryInstanceResource

ReplicationConfigurationTemplateResource

SourceNetworkResource

SourceServerResource

aws:TagKeys

UpdateAgentBacklogForDrs[アクセス許可のみ] エージェントのバックログを更新する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentConversionInfoForDrs[アクセス許可のみ] エージェント変換情報を更新する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentReplicationInfoForDrs[アクセス許可のみ] エージェントレプリケーション情報を更新する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentReplicationProcessStateForDrs[アクセス許可のみ] エージェントレプリケーションプロセスの状態を更新する許可を付与 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateAgentSourcePropertiesForDrs[アクセス許可のみ] エージェントのソースプロパティを更新する許可を付与。 書き込み

RecoveryInstanceResource*

SourceServerResource*

UpdateFailbackClientDeviceMappingForDrs[アクセス許可のみ] フェイルバッククライアントデバイスマッピングを更新するアクセス許可を付与 書き込み

RecoveryInstanceResource*

UpdateFailbackClientLastSeenForDrs[アクセス許可のみ] 最後に検出されたフェールバッククライアントを更新するアクセス許可を付与 書き込み

RecoveryInstanceResource*

UpdateFailbackReplicationConfiguration フェイルバックレプリケーション構成を更新する許可を付与 書き込み

RecoveryInstanceResource*

UpdateLaunchConfiguration 起動設定を更新する許可を付与 書き込み

SourceServerResource*

ec2:DescribeInstances

UpdateLaunchConfigurationTemplate 起動設定を更新する許可を付与 書き込み

LaunchConfigurationTemplateResource*

UpdateReplicationCertificateForDrs[アクセス許可のみ] レプリケーション証明書を更新するためのアクセス許可を付与 書き込み

RecoveryInstanceResource*

UpdateReplicationConfiguration レプリケーション構成を更新する許可を付与。 書き込み

SourceServerResource*

ec2:CreateSecurityGroup

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:GetEbsDefaultKmsKeyId

ec2:GetEbsEncryptionByDefault

kms:CreateGrant

kms:DescribeKey

UpdateReplicationConfigurationTemplate レプリケーション構成テンプレートを更新する許可を付与 書き込み

ReplicationConfigurationTemplateResource*

ec2:CreateSecurityGroup

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:GetEbsDefaultKmsKeyId

ec2:GetEbsEncryptionByDefault

kms:CreateGrant

kms:DescribeKey

AWS Elastic 災害回復で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
JobResource arn:${Partition}:drs:${Region}:${Account}:job/${JobID}

aws:ResourceTag/${TagKey}

RecoveryInstanceResource arn:${Partition}:drs:${Region}:${Account}:recovery-instance/${RecoveryInstanceID}

aws:ResourceTag/${TagKey}

drs:EC2InstanceARN

ReplicationConfigurationTemplateResource arn:${Partition}:drs:${Region}:${Account}:replication-configuration-template/${ReplicationConfigurationTemplateID}

aws:ResourceTag/${TagKey}

LaunchConfigurationTemplateResource arn:${Partition}:drs:${Region}:${Account}:launch-configuration-template/${LaunchConfigurationTemplateID}

aws:ResourceTag/${TagKey}

SourceServerResource arn:${Partition}:drs:${Region}:${Account}:source-server/${SourceServerID}

aws:ResourceTag/${TagKey}

SourceNetworkResource arn:${Partition}:drs:${Region}:${Account}:source-network/${SourceNetworkID}

aws:ResourceTag/${TagKey}

AWS Elastic 災害回復の条件キー

AWS Elastic Disaster Recovery では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString
drs:CreateAction リソース作成 API アクションの名前でアクセスをフィルタリングします 文字列
drs:EC2InstanceARN リクエストの送信元の EC2 インスタンスでアクセスをフィルタリングします ARN