AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリのアクション、リソース、および条件キー

AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリ (サービスプレフィックス: sso-directory) では、IAM アクセス許可ポリシーで使用できるように、次のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

• このサービスを設定する方法について説明します。

• このサービスで使用可能な API オペレーションのリストを表示します。

• IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリで定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー	依存アクション
AddMemberToGroup	AWS IAM Identity Center がデフォルトで提供するディレクトリ内のグループにメンバーを追加するアクセス許可を付与	書き込み
CompleteVirtualMfaDeviceRegistration	仮想 MFA デバイスの作成プロセスを完了する許可を付与。	Write
CompleteWebAuthnDeviceRegistration	WebAuthn デバイスの登録プロセスを完了する許可を付与	書き込み
CreateAlias	AWS IAM Identity Center がデフォルトで提供するディレクトリのエイリアスを作成するアクセス許可を付与	書き込み
CreateBearerToken	特定のプロビジョニングテナントのベアラートークンを作成する許可を付与。	Write
CreateExternalIdPConfigurationForDirectory	ディレクトリ用の外部 ID プロバイダ設定を作成する許可を付与。	書き込み
CreateGroup	AWS IAM Identity Center がデフォルトで提供するディレクトリにグループを作成するアクセス許可を付与	書き込み
CreateProvisioningTenant	指定したディレクトリのプロビジョニングテナントを作成する許可を付与。	書き込み
CreateUser	AWS IAM Identity Center がデフォルトで提供するディレクトリにユーザーを作成するアクセス許可を付与	書き込み
DeleteBearerToken	ベアラートークンを削除する許可を付与。	Write
DeleteExternalIdPCertificate	指定された外部 IdP 証明書を削除する許可を付与。	Write
DeleteExternalIdPConfigurationForDirectory	ディレクトリに関連付けられた外部 ID プロバイダ設定を削除する許可を付与。	書き込み
DeleteGroup	AWS IAM Identity Center がデフォルトで提供するディレクトリからグループを削除するアクセス許可を付与	書き込み
DeleteMfaDeviceForUser	特定のユーザーのデバイス名によって MFA デバイスを削除する許可を付与。	Write
DeleteProvisioningTenant	プロビジョニングテナントを削除する許可を付与。	書き込み
DeleteUser	AWS IAM Identity Center がデフォルトで提供するディレクトリからユーザーを削除するアクセス許可を付与	書き込み
DescribeDirectory	AWS IAM Identity Center がデフォルトで提供するディレクトリに関する情報を取得するアクセス許可を付与	読み込み
DescribeGroup	ユーザーおよびグループメンバーを含まない、グループデータをクエリする許可を付与	読み込み
DescribeGroups	AWS IAM Identity Center がデフォルトで提供するディレクトリからグループに関する情報を取得するアクセス許可を付与	読み込み
DescribeProvisioningTenant	プロビジョニングテナントを説明する許可を付与	読み込み
DescribeUser	AWS IAM Identity Center がデフォルトで提供するディレクトリからユーザーに関する情報を取得するアクセス許可を付与	読み込み
DescribeUserByUniqueAttribute	ユーザーに対して表される有効な一意の属性を使用してユーザーを説明する許可を付与	読み込み
DescribeUsers	AWS IAM Identity Center がデフォルトで提供するディレクトリからユーザーに関する情報を取得するアクセス許可を付与	読み込み
DisableExternalIdPConfigurationForDirectory	外部 ID プロバイダを使用したエンドユーザーの認証を無効にする許可を付与。	書き込み
DisableUser	AWS IAM Identity Center がデフォルトで提供するディレクトリ内のユーザーを非アクティブ化するアクセス許可を付与	書き込み
EnableExternalIdPConfigurationForDirectory	外部 ID プロバイダを使用したエンドユーザーの認証を有効にする許可を付与。	書き込み
EnableUser	AWS IAM Identity Center がデフォルトで提供するディレクトリ内のユーザーをアクティブ化するアクセス許可を付与	書き込み
GetAWSSPConfigurationForDirectory	ディレクトリの AWS IAM Identity Center サービスプロバイダー設定を取得するアクセス許可を付与	読み込み
GetUserPoolInfo	(非推奨) UserPool 情報を取得する許可を付与	読み込み
ImportExternalIdPCertificate	外部 IdP レスポンスの検証に使用される IdP 証明書をインポートする許可を付与。	書き込み
IsMemberInGroup	メンバーが、AWS IAM Identity Center がデフォルトで提供するディレクトリ内のグループに属するかどうかを確認するアクセス許可を付与	読み込み
ListBearerTokens	特定のプロビジョニングテナントのベアラートークンを一覧表示する許可を付与。	Read
ListExternalIdPCertificates	指定されたディレクトリと IdP の外部 IdP 証明書を一覧表示する許可を付与。	Read
ListExternalIdPConfigurationsForDirectory	ディレクトリ用に作成されたすべての外部 ID プロバイダ設定を一覧表示する許可を付与。	Read
ListGroupsForMember	ターゲットメンバーのグループを一覧表示する許可を付与	読み込み
ListGroupsForUser	AWS IAM Identity Center がデフォルトで提供するディレクトリからユーザーのグループを一覧表示するアクセス許可を付与	読み込み
ListMembersInGroup	AWS IAM Identity Center がデフォルトで提供するディレクトリ内のグループに属するすべてのメンバーを取得するアクセス許可を付与	読み込み
ListMfaDevicesForUser	すべてのアクティブな MFA デバイスとそのユーザーの MFA デバイスメタデータを一覧表示する許可を付与。	Read
ListProvisioningTenants	指定したディレクトリのプロビジョニングテナントを一覧表示する許可を付与。	読み込み
RemoveMemberFromGroup	AWS IAM Identity Center がデフォルトで提供するディレクトリ内のグループに属するメンバーを削除するアクセス許可を付与	書き込み
SearchGroups	関連付けられたディレクトリ内のグループを検索する許可を付与。	読み込み
SearchUsers	関連付けられたディレクトリ内のユーザーを検索する許可を付与。	Read
StartVirtualMfaDeviceRegistration	仮想 MFA デバイスの作成プロセスを開始する許可を付与。	Write
StartWebAuthnDeviceRegistration	WebAuthn デバイスの登録プロセスを開始する許可を付与します	Write
UpdateExternalIdPConfigurationForDirectory	ディレクトリに関連付けられた外部 ID プロバイダ設定を更新する許可を付与。	書き込み
UpdateGroup	AWS IAM Identity Center がデフォルトで提供するディレクトリ内のグループに関する情報を更新するアクセス許可を付与	書き込み
UpdateGroupDisplayName	グループ表示名を更新し、グループ表示名レスポンスを更新する許可を付与	Write
UpdateMfaDeviceForUser	MFA デバイス情報を更新する許可を付与	書き込み
UpdatePassword	E メールでパスワードリセットリンクを送信、またはワンタイムパスワードを生成することにより、AWS IAM Identity Center がデフォルトで提供するディレクトリでユーザーのパスワードを更新するアクセス許可を付与	書き込み
UpdateUser	AWS IAM Identity Center がデフォルトで提供するディレクトリ内のユーザー情報を更新するアクセス許可を付与	書き込み
UpdateUserName	ユーザー名を更新し、ユーザー名のレスポンスを更新する許可を付与	Write
VerifyEmail	ユーザーの E メールアドレスを検証する許可を付与。	書き込み

AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリで定義されるリソースタイプ

AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリでは、 IAM ポリシーステートメントの Resource 要素でのリソース ARN の指定がサポートされていません。AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリへのアクセスを許可するには、ポリシーで "Resource": "*" を指定します。

AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリの条件キー

IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリには、ポリシーステートメントの Condition 要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。