翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) のアクション、リソース、および条件キー
AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) (サービスプレフィックス: sso
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用できる API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法について説明します。
トピック
AWS IAM Identity Center ( AWS Single Sign-On の後継) で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AssociateDirectory | AWS IAM Identity Center が使用するディレクトリを接続するアクセス許可を付与します | 書き込み |
ds:AuthorizeApplication |
||
AssociateProfile | ディレクトリユーザーまたはグループとプロファイルとの間に関連付けを作成する許可を付与 | 書き込み | |||
AttachCustomerManagedPolicyReferenceToPermissionSet | カスタマー管理ポリシーリファレンスを許可セットにアタッチする許可を付与 | 権限の管理 | |||
AttachManagedPolicyToPermissionSet | AWS 管理ポリシーをアクセス許可セットにアタッチするアクセス許可を付与します | 権限の管理 | |||
CreateAccountAssignment | 指定されたアクセス許可セット AWS アカウント を使用して、指定された のプリンシパルにアクセスを割り当てるアクセス許可を付与します | 書き込み | |||
CreateApplication | アプリケーションを作成する許可を付与 | 書き込み | |||
CreateApplicationAssignment | アプリケーション割り当てを作成する許可を付与 | 書き込み | |||
CreateApplicationInstance | AWS IAM Identity Center にアプリケーションインスタンスを追加する許可を付与 | 書き込み | |||
CreateApplicationInstanceCertificate | アプリケーションインスタンスに新しい証明書を追加する許可を付与 | 書き込み | |||
CreateInstance | アイデンティティセンターインスタンスを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole organizations:DescribeOrganization |
||
CreateInstanceAccessControlAttributeConfiguration | ABAC のインスタンスを有効にし、属性を指定するアクセス許可を付与します | 書き込み |
iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy |
||
CreateManagedApplicationInstance | マネージドアプリケーションインスタンスを AWS IAM Identity Center に追加する許可を付与 | 書き込み | |||
CreatePermissionSet | アクセス許可セットを作成する許可を付与 | 書き込み | |||
CreateProfile | アプリケーションインスタンスのプロファイルを作成する許可を付与 | 書き込み | |||
CreateTrust | ターゲットアカウントにフェデレーションの信頼を作成する許可を付与 | 書き込み | |||
CreateTrustedTokenIssuer | インスタンスの信頼できるトークン発行元を作成する許可を付与 | 書き込み | |||
DeleteAccountAssignment | 指定されたアクセス許可セット AWS アカウント を使用して、指定された からプリンシパルのアクセスを削除するアクセス許可を付与します | 書き込み | |||
DeleteApplication | アプリケーションを削除する許可を付与 | 書き込み | |||
DeleteApplicationAccessScope | アプリケーションへのアクセス範囲を削除する許可を付与 | 書き込み | |||
DeleteApplicationAssignment | アプリケーションの割り当てを削除する許可を付与 | 書き込み | |||
DeleteApplicationAuthenticationMethod | 認証方法を削除する許可をアプリケーションに付与 | 書き込み | |||
DeleteApplicationGrant | アプリケーションから付与を削除する許可を付与 | 書き込み | |||
DeleteApplicationInstance | アプリケーションインスタンスを削除する許可を付与 | 書き込み | |||
DeleteApplicationInstanceCertificate | 非アクティブまたは期限切れの証明書をアプリケーションインスタンスから削除する許可を付与 | 書き込み | |||
DeleteInlinePolicyFromPermissionSet | 指定されたアクセス許可セットからインラインポリシーを削除するアクセス許可を付与します | 書き込み | |||
DeleteInstance | アイデンティティセンターインスタンスを削除する許可を付与 | 書き込み | |||
DeleteInstanceAccessControlAttributeConfiguration | ABAC を無効にし、インスタンスの属性リストを削除するアクセス許可を付与します | 書き込み | |||
DeleteManagedApplicationInstance | 管理対象アプリケーションインスタンスを削除する許可を付与 | 書き込み | |||
DeletePermissionSet | アクセス許可セットを削除する許可を付与 | 書き込み | |||
DeletePermissionsBoundaryFromPermissionSet | 許可セットから許可境界を削除する許可を付与 | 権限の管理 | |||
DeletePermissionsPolicy | アクセス許可セットに関連付けられたアクセス許可ポリシーを削除する許可を付与 | Permissions management | |||
DeleteProfile | アプリケーションインスタンスのプロファイルを削除する許可を付与 | 書き込み | |||
DeleteTrustedTokenIssuer | インスタンスの信頼されたトークン発行元を削除する許可を付与 | 書き込み | |||
DescribeAccountAssignmentCreationStatus | 割り当て作成リクエストのステータスを記述するアクセス許可を付与します | 読み込み | |||
DescribeAccountAssignmentDeletionStatus | 割り当て削除リクエストのステータスを記述するアクセス許可を付与します | 読み取り | |||
DescribeApplication | アプリケーションに関する情報を取得する許可を付与 | 読み取り | |||
DescribeApplicationAssignment | アプリケーションの割り当てを取得する許可を付与 | 読み取り | |||
DescribeApplicationProvider | アプリケーションプロバイダーを記述する許可を付与 | 読み取り | |||
DescribeDirectories | このアカウントのディレクトリに関する情報を取得するアクセス許可を付与 | 読み取り | |||
DescribeInstance | アイデンティティセンターインスタンスに関する情報を取得する許可を付与 | 読み取り | |||
DescribeInstanceAccessControlAttributeConfiguration | ABAC のインスタンスで使用される属性のリストを取得するアクセス許可を付与します | 読み取り | |||
DescribePermissionSet | アクセス許可セットを説明する許可を付与 | 読み込み | |||
DescribePermissionSetProvisioningStatus | 指定されたアクセス許可セットのプロビジョニングリクエストのステータスを記述するアクセス許可を付与します | 読み込み | |||
DescribePermissionsPolicies | アクセス許可セットに関連付けられているすべてのアクセス許可ポリシーを取得する許可を付与 | 読み取り | |||
DescribeRegisteredRegions | 組織が AWS IAM Identity Center を有効にしているリージョンを取得する許可を付与 | 読み取り | |||
DescribeTrustedTokenIssuer | インスタンスの信頼されたトークン発行元を説明する許可を付与 | 読み取り | |||
DescribeTrusts | このアカウントの信頼関係に関する情報を取得する許可を付与 | 読み取り | |||
DetachCustomerManagedPolicyReferenceFromPermissionSet | カスタマー管理ポリシーリファレンスを許可セットからデタッチする許可を付与 | 権限の管理 | |||
DetachManagedPolicyFromPermissionSet | 指定されたアクセス許可セットからアタッチされた AWS 管理ポリシーをデタッチするアクセス許可を付与します | 権限の管理 | |||
DisassociateDirectory | AWS IAM Identity Center で使用するディレクトリの関連付けを解除するアクセス許可を付与します | 書き込み |
ds:UnauthorizeApplication |
||
DisassociateProfile | プロファイルからディレクトリユーザーまたはグループの関連付けを解除する許可を付与 | 書き込み | |||
GetApplicationAccessScope | アプリケーションへのアクセス範囲を取得する許可を付与 | 読み取り | |||
GetApplicationAssignmentConfiguration | アプリケーションの割り当て設定を読み取る許可を付与 | 読み取り | |||
GetApplicationAuthenticationMethod | アプリケーションに認証方法を取得する許可を付与 | 読み取り | |||
GetApplicationGrant | アプリケーションに属する付与に関する詳細を取得する許可を付与 | 読み取り | |||
GetApplicationInstance | アプリケーションインスタンスの詳細を取得する許可を付与 | 読み込み | |||
GetApplicationTemplate | アプリケーションテンプレートの詳細を取得する許可を付与 | 読み込み | |||
GetInlinePolicyForPermissionSet | アクセス許可セットに割り当てられたインラインポリシーを取得するアクセス許可を付与します | 読み込み | |||
GetManagedApplicationInstance | アプリケーションインスタンスの詳細を取得する許可を付与 | 読み込み | |||
GetMfaDeviceManagementForDirectory | ディレクトリの MFA デバイス管理設定を取得する許可を付与 | 読み込み | |||
GetPermissionSet | アクセス許可セットの詳細を取得する許可を付与 | 読み取り | |||
GetPermissionsBoundaryForPermissionSet | 許可セットの許可境界を取得する許可を付与 | 読み取り | |||
GetPermissionsPolicy | アクセス許可セットに関連付けられているすべてのアクセス許可ポリシーを取得する許可を付与 | 読み込み |
sso:DescribePermissionsPolicies |
||
GetProfile | アプリケーションインスタンスのプロファイルを取得する許可を付与 | 読み取り | |||
GetSSOStatus | AWS IAM Identity Center が有効になっているかどうかを確認するアクセス許可を付与します | 読み取り | |||
GetSharedSsoConfiguration | 現在の SSO インスタンスの共有設定を取得する許可を付与 | 読み取り | |||
GetSsoConfiguration | 現在の SSO インスタンスの設定を取得する許可を付与 | 読み取り | |||
GetTrust | ターゲットアカウントでフェデレーションの信頼を取得する許可を付与 | 読み取り | |||
ImportApplicationInstanceServiceProviderMetadata | サービスプロバイダーが提供するアプリケーション SAML メタデータファイルをアップロードしてアプリケーションインスタンスを更新するアクセス許可を付与します | 書き込み | |||
ListAccountAssignmentCreationStatus | 指定された SSO インスタンス AWS アカウント の割り当て作成リクエストのステータスを一覧表示するアクセス許可を付与します | リスト | |||
ListAccountAssignmentDeletionStatus | 指定された SSO インスタンス AWS アカウント の割り当て削除リクエストのステータスを一覧表示するアクセス許可を付与します | リスト | |||
ListAccountAssignments | 指定されたアクセス許可セット AWS アカウント を持つ指定された の担当者を一覧表示するアクセス許可を付与します | リスト | |||
ListAccountAssignmentsForPrincipal | ユーザーまたはグループに割り当てられたアカウントを一覧表示する許可を付与 | リスト | |||
ListAccountsForProvisionedPermissionSet | 指定されたアクセス許可セットがプロビジョニングされているすべての AWS アカウントを一覧表示するアクセス許可を付与します | リスト | |||
ListApplicationAccessScopes | アプリケーションにアクセス範囲を一覧表示する許可を付与 | リスト | |||
ListApplicationAssignments | アプリケーションの割り当てを一覧表示する許可を付与 | リスト | |||
ListApplicationAssignmentsForPrincipal | ユーザーまたはグループに割り当てられたアプリケーションを一覧表示する許可を付与 | リスト | |||
ListApplicationAuthenticationMethods | アプリケーションに認証方法を一覧表示する許可を付与 | リスト | |||
ListApplicationGrants | アプリケーションから付与を一覧表示する許可を付与 | リスト | |||
ListApplicationInstanceCertificates | 指定されたアプリケーションインスタンスのすべての証明書を取得する許可を付与 | 読み込み | |||
ListApplicationInstances | すべてのアプリケーションインスタンスを取得する許可を付与 | リスト |
sso:GetApplicationInstance |
||
ListApplicationProviders | アプリケーションプロバイダーを一覧表示する許可を付与 | リスト | |||
ListApplicationTemplates | サポートされているすべてのアプリケーションテンプレートを取得する許可を付与 | リスト |
sso:GetApplicationTemplate |
||
ListApplications | IAM Identity Center のインスタンスに関連付けられているすべてのアプリケーションを取得するアクセス許可を付与します | リスト | |||
ListCustomerManagedPolicyReferencesInPermissionSet | 許可セットにアタッチされているカスタマー管理ポリシーリファレンスを一覧表示する許可を付与します | リスト | |||
ListDirectoryAssociations | AWS IAM Identity Center に接続されたディレクトリに関する詳細を取得するアクセス許可を付与します | 読み取り | |||
ListInstances | 発信者がアクセスできる SSO インスタンスを一覧表示するアクセス許可を付与します | リスト | |||
ListManagedPoliciesInPermissionSet | 指定されたアクセス許可セットにアタッチされている AWS 管理ポリシーを一覧表示するアクセス許可を付与します | リスト | |||
ListPermissionSetProvisioningStatus | 指定された SSO インスタンスのアクセス許可セットプロビジョニングリクエストのステータスを一覧表示するアクセス許可を付与します | リスト | |||
ListPermissionSets | すべてのアクセス許可セットを取得する許可を付与 | リスト | |||
ListPermissionSetsProvisionedToAccount | 指定された にプロビジョニングされたすべてのアクセス許可セットを一覧表示するアクセス許可を付与します AWS アカウント | リスト | |||
ListProfileAssociations | プロファイルに関連付けられたディレクトリユーザーまたはグループを取得する許可を付与 | 読み込み | |||
ListProfiles | アプリケーションインスタンスのすべてのプロファイルを取得する許可を付与 | リスト |
sso:GetProfile |
||
ListTagsForResource | 指定されたリソースにアタッチされているタグを一覧表示するアクセス許可を付与します | 読み取り | |||
ListTrustedTokenIssuers | インスタンスの信頼されたトークン発行元を一覧表示する許可を付与 | リスト | |||
ProvisionPermissionSet | 指定されたアクセス許可セットを指定されたターゲットにプロビジョニングするアクセス許可を付与します | 書き込み | |||
PutApplicationAccessScope | アプリケーションへのアクセス範囲を作成または更新する許可を付与 | 書き込み | |||
PutApplicationAssignmentConfiguration | アプリケーションに割り当て設定を追加するアクセス許可を付与 | 書き込み | |||
PutApplicationAuthenticationMethod | アプリケーションに認証方法を作成または更新する許可を付与 | 書き込み | |||
PutApplicationGrant | アプリケーションに付与を作成/更新する許可を付与 | 書き込み | |||
PutInlinePolicyToPermissionSet | IAM インラインポリシーをアクセス許可セットにアタッチするアクセス許可を付与します | 書き込み | |||
PutMfaDeviceManagementForDirectory | ディレクトリの MFA デバイス管理設定を配置する許可を付与 | 書き込み | |||
PutPermissionsBoundaryToPermissionSet | 許可セットに許可境界を追加する許可を付与 | 権限の管理 | |||
PutPermissionsPolicy | アクセス許可セットにポリシーを追加する許可を付与 | Permissions management | |||
SearchGroups | 関連付けられたディレクトリ内のグループを検索する許可を付与。 | 読み込み |
ds:DescribeDirectories |
||
SearchUsers | 関連付けられたディレクトリ内のユーザーを検索する許可を付与。 | 読み取り |
ds:DescribeDirectories |
||
StartSSO | AWS IAM Identity Center を初期化する許可を付与 | 書き込み |
organizations:DescribeOrganization organizations:EnableAWSServiceAccess |
||
TagResource | 一連のタグを指定されたリソースに関連付けるアクセス許可を付与します | タグ付け | |||
UntagResource | 指定したリソースから一連のタグの関連付けを解除するアクセス許可を付与します | タグ付け | |||
UpdateApplication | アプリケーションを更新する許可を付与 | 書き込み | |||
UpdateApplicationInstanceActiveCertificate | このアプリケーションインスタンスのアクティブな証明書として証明書を設定する許可を付与 | 書き込み | |||
UpdateApplicationInstanceDisplayData | アプリケーションインスタンスの表示データを更新する許可を付与 | 書き込み | |||
UpdateApplicationInstanceResponseConfiguration | アプリケーションインスタンスのフェデレーションレスポンス設定を更新する許可を付与 | 書き込み | |||
UpdateApplicationInstanceResponseSchemaConfiguration | アプリケーションインスタンスのフェデレーションレスポンススキーマ設定を更新する許可を付与 | 書き込み | |||
UpdateApplicationInstanceSecurityConfiguration | アプリケーションインスタンスのセキュリティ詳細を更新する許可を付与 | 書き込み | |||
UpdateApplicationInstanceServiceProviderConfiguration | アプリケーションインスタンスのサービスプロバイダーに関する設定を更新する許可を付与 | 書き込み | |||
UpdateApplicationInstanceStatus | アプリケーションインスタンスのステータスを更新する許可を付与 | 書き込み | |||
UpdateDirectoryAssociation | 接続したディレクトリのユーザー属性マッピングを更新する許可を付与 | 書き込み | |||
UpdateInstance | アイデンティティセンターインスタンスを更新する許可を付与 | 書き込み | |||
UpdateInstanceAccessControlAttributeConfiguration | ABAC のインスタンスで使用する属性を更新する許可を付与 | 書き込み | |||
UpdateManagedApplicationInstanceStatus | 管理対象アプリケーションインスタンスのステータスを更新する許可を付与 | 書き込み | |||
UpdatePermissionSet | アクセス許可セットを更新するアクセス許可を付与します | 権限の管理 | |||
UpdateProfile | アプリケーションインスタンスのプロファイルを更新する許可を付与 | 書き込み | |||
UpdateSSOConfiguration | 現在の SSO インスタンスの設定を更新する許可を付与 | 書き込み | |||
UpdateTrust | ターゲットアカウントでフェデレーションの信頼を更新する許可を付与 | 書き込み | |||
UpdateTrustedTokenIssuer | インスタンスの信頼されたトークン発行元を更新する許可を付与 | 書き込み |
AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
PermissionSet |
arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}
|
|
Account |
arn:${Partition}:sso:::account/${AccountId}
|
|
Instance |
arn:${Partition}:sso:::instance/${InstanceId}
|
|
Application |
arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}
|
|
TrustedTokenIssuer |
arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}
|
|
ApplicationProvider |
arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}
|
AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) の条件キー
AWS IAM Identity Center ( AWS Single Sign-On の後継サービス) では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | タイプ |
---|---|---|
aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
sso:ApplicationAccount | アプリケーションを作成したアカウントでアクセスをフィルタリングします | 文字列 |