AWS Firewall Manager のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall Manager のアクション、リソース、および条件キー

AWS Firewall Manager (サービスプレフィックス: fms) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Firewall Manager で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateAdminAccount AWS Firewall Manager 管理者アカウントを設定し、すべての組織アカウントでサービスを有効にするアクセス許可を付与します 書き込み
AssociateThirdPartyFirewall Firewall Manager 管理者を、サードパーティーのファイアウォールサービスのテナント管理者として設定するアクセス許可を付与します 書き込み
BatchAssociateResource AWS Firewall Manager リソースセットにリソースを関連付けるアクセス許可を付与します 書き込み

resource-set*

BatchDisassociateResource AWS Firewall Manager リソースセットからリソースの関連付けを解除する許可を付与 書き込み

resource-set*

DeleteAppsList AWS Firewall Manager アプリケーションリストを完全に削除する許可を付与 書き込み

applications-list*

DeleteNotificationChannel 組織全体で主要な FM イベントとエラーを FM 管理者に通知するために使用される IAM ロールと Amazon Simple Notification Service (SNS) トピックとの AWS Firewall Manager の関連付けを削除するアクセス許可を付与します 書き込み
DeletePolicy AWS Firewall Manager ポリシーを完全に削除する許可を付与 書き込み

policy*

aws:ResourceTag/${TagKey}

DeleteProtocolsList AWS Firewall Manager プロトコルリストを完全に削除する許可を付与 書き込み

protocols-list*

DeleteResourceSet AWS Firewall Manager リソースセットを完全に削除する許可を付与 書き込み

resource-set*

aws:ResourceTag/${TagKey}

DisassociateAdminAccount AWS Firewall Manager 管理者アカウントとして設定されたアカウントの関連付けを解除するアクセス許可を付与し、すべての組織アカウントのサービスを無効にします 書き込み
DisassociateThirdPartyFirewall Firewall Manager 管理者とサードパーティのファイアウォールテナントとの関連付けを解除するアクセス許可を付与します 書き込み
GetAdminAccount Firewall Manager 管理者として AWS Firewall Manager に関連付けられている AWS Organizations AWS アカウントを返すアクセス許可を付与します 読み取り
GetAdminScope 指定されたアカウントの管理者の権限適用範囲に関する情報を返す許可を付与します 読み取り
GetAppsList 指定された AWS Firewall Manager アプリケーションリストに関する情報を返すアクセス許可を付与します 読み取り

applications-list*

GetComplianceDetail 指定されたメンバーアカウントについての詳細なコンプライアンス情報を取得する許可を付与。詳細には、指定されたポリシーに準拠しているかどうかにかかわらず、リソースが含まれます 読み取り

policy*

GetNotificationChannel AWS Firewall Manager SNS ログの記録に使用される Amazon Simple Notification Service (SNS) トピックに関する情報を取得するアクセス許可を付与します 読み取り
GetPolicy 指定された AWS Firewall Manager ポリシーに関する情報を取得する許可を付与 読み取り

policy*

GetProtectionStatus DDoS 攻撃の可能性がある場合にポリシーレベルの攻撃概要情報を取得するアクセス許可を付与します 読み取り

policy*

GetProtocolsList 指定された AWS Firewall Manager プロトコルリストに関する情報を返すアクセス許可を付与します 読み取り

protocols-list*

GetResourceSet 指定された AWS Firewall Manager リソースセットに関する情報を取得する許可を付与 読み取り

resource-set*

GetThirdPartyFirewallAssociationStatus サードパーティーのファイアウォールベンダーのテナントに Firewall Manager 管理者アカウントのオンボーディングステータスを取得するアクセス許可を付与します 読み取り
GetViolationDetails 指定された AWS Firewall Manager ポリシーと に基づいてリソースの違反を取得するアクセス許可を付与します AWS アカウント 読み取り

policy*

ListAdminAccountsForOrganization Firewall Manager by AdminAccounts にオンボードされている組織内の Firewall Manager 管理者を一覧表示する a AssociateAdminAccount オブジェクトを返すアクセス許可を付与します リスト
ListAdminsManagingAccount 指定された AWS Organizations メンバーアカウントを管理しているアカウントを一覧表示するアクセス許可を付与します リスト
ListAppsLists AppsListDataSummary オブジェクトの配列を返すアクセス許可を付与します リスト
ListComplianceStatus レスポンス内の PolicyComplianceStatus オブジェクトの配列を取得するアクセス許可を付与します。Use PolicyComplianceStatus を使用して、指定されたポリシーで保護されているメンバーアカウントの概要を取得します。 リスト

policy*

ListDiscoveredResources リソースセットに関連付けることのできる組織アカウント内のリソースの配列を取得する許可を付与 リスト
ListMemberAccounts 発信者が FMS 管理者アカウントである場合に、メンバーアカウント ID の配列を取得するアクセス許可を付与します リスト
ListPolicies レスポンス内の PolicySummary オブジェクトの配列を取得する許可を付与 リスト
ListProtocolsLists ProtocolsListDataSummary オブジェクトの配列を返すアクセス許可を付与します リスト
ListResourceSetResources リソースセットに現在関連付けられているリソースの配列を取得する許可を付与 リスト

resource-set*

ListResourceSets ResourceSetSummary オブジェクトの配列を取得する許可を付与 リスト
ListTagsForResource リソースのタグを一覧表示する許可を付与 読み込み

policy*

ListThirdPartyFirewallFirewallPolicies サードパーティーのファイアウォール管理者のアカウントに関連付けられているすべてのサードパーティー製ファイアウォールポリシーのリストを取得するアクセス許可を付与します リスト
PutAdminAccount Firewall Manager 管理者アカウントを作成または更新する許可を付与します 書き込み
PutAppsList AWS Firewall Manager アプリケーションリストを作成する許可を付与 書き込み

applications-list*

aws:RequestTag/${TagKey}

aws:TagKeys

PutNotificationChannel AWS Firewall Manager (FM) が FM 管理者に組織全体の主要な FM イベントやエラーを通知するために使用できる IAM ロールと Amazon Simple Notification Service (SNS) トピックを指定するアクセス許可を付与します 書き込み
PutPolicy AWS Firewall Manager ポリシーを作成する許可を付与 書き込み

policy*

aws:RequestTag/${TagKey}

aws:TagKeys

PutProtocolsList AWS Firewall Manager プロトコルリストを作成する許可を付与 書き込み

protocols-list*

aws:RequestTag/${TagKey}

aws:TagKeys

PutResourceSet AWS Firewall Manager リソースセットを作成する許可を付与 書き込み

resource-set*

aws:RequestTag/${TagKey}

aws:TagKeys

TagResource リソースにタグを追加する許可を付与 タグ付け

applications-list

policy

protocols-list

resource-set

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースからタグを削除する許可を付与 タグ付け

applications-list

policy

protocols-list

resource-set

aws:TagKeys

AWS Firewall Manager で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
policy arn:${Partition}:fms:${Region}:${Account}:policy/${Id}

aws:ResourceTag/${TagKey}

applications-list arn:${Partition}:fms:${Region}:${Account}:applications-list/${Id}

aws:ResourceTag/${TagKey}

protocols-list arn:${Partition}:fms:${Region}:${Account}:protocols-list/${Id}

aws:ResourceTag/${TagKey}

resource-set arn:${Partition}:fms:${Region}:${Account}:resource-set/${Id}

aws:ResourceTag/${TagKey}

AWS Firewall Manager の条件キー

AWS Firewall Manager は、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングする ArrayOfString