AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) のアクション、リソース、および条件キー

AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) (サービスプレフィックス: sso) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS IAM Identity Center ( AWS Single Sign-On の後継) で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateDirectory AWS IAM Identity Center が使用するディレクトリを接続するアクセス許可を付与します 書き込み

ds:AuthorizeApplication

AssociateProfile ディレクトリユーザーまたはグループとプロファイルとの間に関連付けを作成する許可を付与 書き込み
AttachCustomerManagedPolicyReferenceToPermissionSet カスタマー管理ポリシーリファレンスを許可セットにアタッチする許可を付与 権限の管理

Instance*

PermissionSet*

AttachManagedPolicyToPermissionSet AWS 管理ポリシーをアクセス許可セットにアタッチするアクセス許可を付与します 権限の管理

Instance*

PermissionSet*

CreateAccountAssignment 指定されたアクセス許可セット AWS アカウント を使用して、指定された のプリンシパルにアクセスを割り当てるアクセス許可を付与します 書き込み

Account*

Instance*

PermissionSet*

CreateApplication アプリケーションを作成する許可を付与 書き込み

ApplicationProvider*

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateApplicationAssignment アプリケーション割り当てを作成する許可を付与 書き込み

Application*

sso:ApplicationAccount

CreateApplicationInstance AWS IAM Identity Center にアプリケーションインスタンスを追加する許可を付与 書き込み
CreateApplicationInstanceCertificate アプリケーションインスタンスに新しい証明書を追加する許可を付与 書き込み
CreateInstance アイデンティティセンターインスタンスを作成する許可を付与 書き込み

Instance*

iam:CreateServiceLinkedRole

organizations:DescribeOrganization

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInstanceAccessControlAttributeConfiguration ABAC のインスタンスを有効にし、属性を指定するアクセス許可を付与します 書き込み

Instance*

iam:AttachRolePolicy

iam:CreateRole

iam:DeleteRole

iam:DeleteRolePolicy

iam:DetachRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:PutRolePolicy

iam:UpdateAssumeRolePolicy

CreateManagedApplicationInstance マネージドアプリケーションインスタンスを AWS IAM Identity Center に追加する許可を付与 書き込み
CreatePermissionSet アクセス許可セットを作成する許可を付与 書き込み

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProfile アプリケーションインスタンスのプロファイルを作成する許可を付与 書き込み
CreateTrust ターゲットアカウントにフェデレーションの信頼を作成する許可を付与 書き込み
CreateTrustedTokenIssuer インスタンスの信頼できるトークン発行元を作成する許可を付与 書き込み

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAccountAssignment 指定されたアクセス許可セット AWS アカウント を使用して、指定された からプリンシパルのアクセスを削除するアクセス許可を付与します 書き込み

Account*

Instance*

PermissionSet*

DeleteApplication アプリケーションを削除する許可を付与 書き込み

Application*

sso:ApplicationAccount

DeleteApplicationAccessScope アプリケーションへのアクセス範囲を削除する許可を付与 書き込み

Application*

sso:ApplicationAccount

DeleteApplicationAssignment アプリケーションの割り当てを削除する許可を付与 書き込み

Application*

sso:ApplicationAccount

DeleteApplicationAuthenticationMethod 認証方法を削除する許可をアプリケーションに付与 書き込み

Application*

sso:ApplicationAccount

DeleteApplicationGrant アプリケーションから付与を削除する許可を付与 書き込み

Application*

sso:ApplicationAccount

DeleteApplicationInstance アプリケーションインスタンスを削除する許可を付与 書き込み
DeleteApplicationInstanceCertificate 非アクティブまたは期限切れの証明書をアプリケーションインスタンスから削除する許可を付与 書き込み
DeleteInlinePolicyFromPermissionSet 指定されたアクセス許可セットからインラインポリシーを削除するアクセス許可を付与します 書き込み

Instance*

PermissionSet*

DeleteInstance アイデンティティセンターインスタンスを削除する許可を付与 書き込み

Instance*

DeleteInstanceAccessControlAttributeConfiguration ABAC を無効にし、インスタンスの属性リストを削除するアクセス許可を付与します 書き込み

Instance*

DeleteManagedApplicationInstance 管理対象アプリケーションインスタンスを削除する許可を付与 書き込み
DeletePermissionSet アクセス許可セットを削除する許可を付与 書き込み

Instance*

PermissionSet*

DeletePermissionsBoundaryFromPermissionSet 許可セットから許可境界を削除する許可を付与 権限の管理

Instance*

PermissionSet*

DeletePermissionsPolicy アクセス許可セットに関連付けられたアクセス許可ポリシーを削除する許可を付与 Permissions management
DeleteProfile アプリケーションインスタンスのプロファイルを削除する許可を付与 書き込み
DeleteTrustedTokenIssuer インスタンスの信頼されたトークン発行元を削除する許可を付与 書き込み

TrustedTokenIssuer*

DescribeAccountAssignmentCreationStatus 割り当て作成リクエストのステータスを記述するアクセス許可を付与します 読み込み

Instance*

DescribeAccountAssignmentDeletionStatus 割り当て削除リクエストのステータスを記述するアクセス許可を付与します 読み取り

Instance*

DescribeApplication アプリケーションに関する情報を取得する許可を付与 読み取り

Application*

sso:ApplicationAccount

DescribeApplicationAssignment アプリケーションの割り当てを取得する許可を付与 読み取り

Application*

sso:ApplicationAccount

DescribeApplicationProvider アプリケーションプロバイダーを記述する許可を付与 読み取り

ApplicationProvider*

DescribeDirectories このアカウントのディレクトリに関する情報を取得するアクセス許可を付与 読み取り
DescribeInstance アイデンティティセンターインスタンスに関する情報を取得する許可を付与 読み取り

Instance*

DescribeInstanceAccessControlAttributeConfiguration ABAC のインスタンスで使用される属性のリストを取得するアクセス許可を付与します 読み取り

Instance*

DescribePermissionSet アクセス許可セットを説明する許可を付与 読み込み

Instance*

PermissionSet*

DescribePermissionSetProvisioningStatus 指定されたアクセス許可セットのプロビジョニングリクエストのステータスを記述するアクセス許可を付与します 読み込み

Instance*

DescribePermissionsPolicies アクセス許可セットに関連付けられているすべてのアクセス許可ポリシーを取得する許可を付与 読み取り
DescribeRegisteredRegions 組織が AWS IAM Identity Center を有効にしているリージョンを取得する許可を付与 読み取り
DescribeTrustedTokenIssuer インスタンスの信頼されたトークン発行元を説明する許可を付与 読み取り

TrustedTokenIssuer*

DescribeTrusts このアカウントの信頼関係に関する情報を取得する許可を付与 読み取り
DetachCustomerManagedPolicyReferenceFromPermissionSet カスタマー管理ポリシーリファレンスを許可セットからデタッチする許可を付与 権限の管理

Instance*

PermissionSet*

DetachManagedPolicyFromPermissionSet 指定されたアクセス許可セットからアタッチされた AWS 管理ポリシーをデタッチするアクセス許可を付与します 権限の管理

Instance*

PermissionSet*

DisassociateDirectory AWS IAM Identity Center で使用するディレクトリの関連付けを解除するアクセス許可を付与します 書き込み

ds:UnauthorizeApplication

DisassociateProfile プロファイルからディレクトリユーザーまたはグループの関連付けを解除する許可を付与 書き込み
GetApplicationAccessScope アプリケーションへのアクセス範囲を取得する許可を付与 読み取り

Application*

sso:ApplicationAccount

GetApplicationAssignmentConfiguration アプリケーションの割り当て設定を読み取る許可を付与 読み取り

Application*

sso:ApplicationAccount

GetApplicationAuthenticationMethod アプリケーションに認証方法を取得する許可を付与 読み取り

Application*

sso:ApplicationAccount

GetApplicationGrant アプリケーションに属する付与に関する詳細を取得する許可を付与 読み取り

Application*

sso:ApplicationAccount

GetApplicationInstance アプリケーションインスタンスの詳細を取得する許可を付与 読み込み
GetApplicationTemplate アプリケーションテンプレートの詳細を取得する許可を付与 読み込み
GetInlinePolicyForPermissionSet アクセス許可セットに割り当てられたインラインポリシーを取得するアクセス許可を付与します 読み込み

Instance*

PermissionSet*

GetManagedApplicationInstance アプリケーションインスタンスの詳細を取得する許可を付与 読み込み
GetMfaDeviceManagementForDirectory ディレクトリの MFA デバイス管理設定を取得する許可を付与 読み込み
GetPermissionSet アクセス許可セットの詳細を取得する許可を付与 読み取り
GetPermissionsBoundaryForPermissionSet 許可セットの許可境界を取得する許可を付与 読み取り

Instance*

PermissionSet*

GetPermissionsPolicy アクセス許可セットに関連付けられているすべてのアクセス許可ポリシーを取得する許可を付与 読み込み

sso:DescribePermissionsPolicies

GetProfile アプリケーションインスタンスのプロファイルを取得する許可を付与 読み取り
GetSSOStatus AWS IAM Identity Center が有効になっているかどうかを確認するアクセス許可を付与します 読み取り
GetSharedSsoConfiguration 現在の SSO インスタンスの共有設定を取得する許可を付与 読み取り
GetSsoConfiguration 現在の SSO インスタンスの設定を取得する許可を付与 読み取り
GetTrust ターゲットアカウントでフェデレーションの信頼を取得する許可を付与 読み取り
ImportApplicationInstanceServiceProviderMetadata サービスプロバイダーが提供するアプリケーション SAML メタデータファイルをアップロードしてアプリケーションインスタンスを更新するアクセス許可を付与します 書き込み
ListAccountAssignmentCreationStatus 指定された SSO インスタンス AWS アカウント の割り当て作成リクエストのステータスを一覧表示するアクセス許可を付与します リスト

Instance*

ListAccountAssignmentDeletionStatus 指定された SSO インスタンス AWS アカウント の割り当て削除リクエストのステータスを一覧表示するアクセス許可を付与します リスト

Instance*

ListAccountAssignments 指定されたアクセス許可セット AWS アカウント を持つ指定された の担当者を一覧表示するアクセス許可を付与します リスト

Account*

Instance*

PermissionSet*

ListAccountAssignmentsForPrincipal ユーザーまたはグループに割り当てられたアカウントを一覧表示する許可を付与 リスト

Instance*

ListAccountsForProvisionedPermissionSet 指定されたアクセス許可セットがプロビジョニングされているすべての AWS アカウントを一覧表示するアクセス許可を付与します リスト

Instance*

PermissionSet*

ListApplicationAccessScopes アプリケーションにアクセス範囲を一覧表示する許可を付与 リスト

Application*

sso:ApplicationAccount

ListApplicationAssignments アプリケーションの割り当てを一覧表示する許可を付与 リスト

Application*

sso:ApplicationAccount

ListApplicationAssignmentsForPrincipal ユーザーまたはグループに割り当てられたアプリケーションを一覧表示する許可を付与 リスト

Instance*

sso:ApplicationAccount

ListApplicationAuthenticationMethods アプリケーションに認証方法を一覧表示する許可を付与 リスト

Application*

sso:ApplicationAccount

ListApplicationGrants アプリケーションから付与を一覧表示する許可を付与 リスト

Application*

sso:ApplicationAccount

ListApplicationInstanceCertificates 指定されたアプリケーションインスタンスのすべての証明書を取得する許可を付与 読み込み
ListApplicationInstances すべてのアプリケーションインスタンスを取得する許可を付与 リスト

sso:GetApplicationInstance

ListApplicationProviders アプリケーションプロバイダーを一覧表示する許可を付与 リスト

ApplicationProvider*

ListApplicationTemplates サポートされているすべてのアプリケーションテンプレートを取得する許可を付与 リスト

sso:GetApplicationTemplate

ListApplications IAM Identity Center のインスタンスに関連付けられているすべてのアプリケーションを取得するアクセス許可を付与します リスト
ListCustomerManagedPolicyReferencesInPermissionSet 許可セットにアタッチされているカスタマー管理ポリシーリファレンスを一覧表示する許可を付与します リスト

Instance*

PermissionSet*

ListDirectoryAssociations AWS IAM Identity Center に接続されたディレクトリに関する詳細を取得するアクセス許可を付与します 読み取り
ListInstances 発信者がアクセスできる SSO インスタンスを一覧表示するアクセス許可を付与します リスト
ListManagedPoliciesInPermissionSet 指定されたアクセス許可セットにアタッチされている AWS 管理ポリシーを一覧表示するアクセス許可を付与します リスト

Instance*

PermissionSet*

ListPermissionSetProvisioningStatus 指定された SSO インスタンスのアクセス許可セットプロビジョニングリクエストのステータスを一覧表示するアクセス許可を付与します リスト

Instance*

ListPermissionSets すべてのアクセス許可セットを取得する許可を付与 リスト

Instance*

ListPermissionSetsProvisionedToAccount 指定された にプロビジョニングされたすべてのアクセス許可セットを一覧表示するアクセス許可を付与します AWS アカウント リスト

Account*

Instance*

ListProfileAssociations プロファイルに関連付けられたディレクトリユーザーまたはグループを取得する許可を付与 読み込み
ListProfiles アプリケーションインスタンスのすべてのプロファイルを取得する許可を付与 リスト

sso:GetProfile

ListTagsForResource 指定されたリソースにアタッチされているタグを一覧表示するアクセス許可を付与します 読み取り

Application

Instance

PermissionSet

TrustedTokenIssuer

ListTrustedTokenIssuers インスタンスの信頼されたトークン発行元を一覧表示する許可を付与 リスト

Instance*

ProvisionPermissionSet 指定されたアクセス許可セットを指定されたターゲットにプロビジョニングするアクセス許可を付与します 書き込み

Account*

Instance*

PermissionSet*

PutApplicationAccessScope アプリケーションへのアクセス範囲を作成または更新する許可を付与 書き込み

Application*

sso:ApplicationAccount

PutApplicationAssignmentConfiguration アプリケーションに割り当て設定を追加するアクセス許可を付与 書き込み

Application*

sso:ApplicationAccount

PutApplicationAuthenticationMethod アプリケーションに認証方法を作成または更新する許可を付与 書き込み

Application*

sso:ApplicationAccount

PutApplicationGrant アプリケーションに付与を作成/更新する許可を付与 書き込み

Application*

sso:ApplicationAccount

PutInlinePolicyToPermissionSet IAM インラインポリシーをアクセス許可セットにアタッチするアクセス許可を付与します 書き込み

Instance*

PermissionSet*

PutMfaDeviceManagementForDirectory ディレクトリの MFA デバイス管理設定を配置する許可を付与 書き込み
PutPermissionsBoundaryToPermissionSet 許可セットに許可境界を追加する許可を付与 権限の管理

Instance*

PermissionSet*

PutPermissionsPolicy アクセス許可セットにポリシーを追加する許可を付与 Permissions management
SearchGroups 関連付けられたディレクトリ内のグループを検索する許可を付与。 読み込み

ds:DescribeDirectories

SearchUsers 関連付けられたディレクトリ内のユーザーを検索する許可を付与。 読み取り

ds:DescribeDirectories

StartSSO AWS IAM Identity Center を初期化する許可を付与 書き込み

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

TagResource 一連のタグを指定されたリソースに関連付けるアクセス許可を付与します タグ付け

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 指定したリソースから一連のタグの関連付けを解除するアクセス許可を付与します タグ付け

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:TagKeys

UpdateApplication アプリケーションを更新する許可を付与 書き込み

Application*

sso:ApplicationAccount

UpdateApplicationInstanceActiveCertificate このアプリケーションインスタンスのアクティブな証明書として証明書を設定する許可を付与 書き込み
UpdateApplicationInstanceDisplayData アプリケーションインスタンスの表示データを更新する許可を付与 書き込み
UpdateApplicationInstanceResponseConfiguration アプリケーションインスタンスのフェデレーションレスポンス設定を更新する許可を付与 書き込み
UpdateApplicationInstanceResponseSchemaConfiguration アプリケーションインスタンスのフェデレーションレスポンススキーマ設定を更新する許可を付与 書き込み
UpdateApplicationInstanceSecurityConfiguration アプリケーションインスタンスのセキュリティ詳細を更新する許可を付与 書き込み
UpdateApplicationInstanceServiceProviderConfiguration アプリケーションインスタンスのサービスプロバイダーに関する設定を更新する許可を付与 書き込み
UpdateApplicationInstanceStatus アプリケーションインスタンスのステータスを更新する許可を付与 書き込み
UpdateDirectoryAssociation 接続したディレクトリのユーザー属性マッピングを更新する許可を付与 書き込み
UpdateInstance アイデンティティセンターインスタンスを更新する許可を付与 書き込み

Instance*

UpdateInstanceAccessControlAttributeConfiguration ABAC のインスタンスで使用する属性を更新する許可を付与 書き込み

Instance*

UpdateManagedApplicationInstanceStatus 管理対象アプリケーションインスタンスのステータスを更新する許可を付与 書き込み
UpdatePermissionSet アクセス許可セットを更新するアクセス許可を付与します 権限の管理

Instance*

PermissionSet*

UpdateProfile アプリケーションインスタンスのプロファイルを更新する許可を付与 書き込み
UpdateSSOConfiguration 現在の SSO インスタンスの設定を更新する許可を付与 書き込み
UpdateTrust ターゲットアカウントでフェデレーションの信頼を更新する許可を付与 書き込み
UpdateTrustedTokenIssuer インスタンスの信頼されたトークン発行元を更新する許可を付与 書き込み

TrustedTokenIssuer*

AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
PermissionSet arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}

aws:ResourceTag/${TagKey}

Account arn:${Partition}:sso:::account/${AccountId}
Instance arn:${Partition}:sso:::instance/${InstanceId}

aws:ResourceTag/${TagKey}

Application arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}

aws:ResourceTag/${TagKey}

sso:ApplicationAccount

TrustedTokenIssuer arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}

aws:ResourceTag/${TagKey}

ApplicationProvider arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}

AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) の条件キー

AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString
sso:ApplicationAccount アプリケーションを作成したアカウントでアクセスをフィルタリングします 文字列