AWS Identity and Access Management (IAM) のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Identity and Access Management (IAM) のアクション、リソース、および条件キー

AWS Identity and Access Management (IAM) (サービスプレフィックス: iam) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Identity and Access Management (IAM) で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddClientIDToOpenIDConnectProvider 指定された IDs OpenID Connect (Word) プロバイダーリソースの登録済み IAM のリストに新しいクライアント ID (対象者OIDC) を追加するアクセス許可を付与します 書き込み

oidc-provider*

AddRoleToInstanceProfile 指定されたインスタンスプロファイルに IAM ロールを追加するアクセス許可を付与します 書き込み

instance-profile*

iam:PassRole

AddUserToGroup 指定された IAM グループに IAM ユーザーを追加するアクセス許可を付与します 書き込み

group*

AttachGroupPolicy 指定された IAM グループに管理ポリシーをアタッチするアクセス許可を付与します 権限の管理

group*

iam:PolicyARN

AttachRolePolicy 指定された IAM ロールに管理ポリシーをアタッチするアクセス許可を付与します 権限の管理

role*

iam:PolicyARN

iam:PermissionsBoundary

AttachUserPolicy 指定された IAM ユーザーに管理ポリシーをアタッチするアクセス許可を付与します 権限の管理

user*

iam:PolicyARN

iam:PermissionsBoundary

ChangePassword IAM ユーザーに自分のパスワードを変更するアクセス許可を付与します 書き込み

user*

CreateAccessKey 指定された IAM ユーザーのアクセスキーとシークレットアクセスキーを作成するアクセス許可を付与します 書き込み

user*

CreateAccountAlias のエイリアスを作成する許可を付与 AWS アカウント 書き込み
CreateGroup 新しいグループを作成する許可を付与 書き込み

group*

CreateInstanceProfile 新しいインスタンスプロファイルを作成する許可を付与 書き込み

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLoginProfile 指定された IAM ユーザーのパスワードを作成するアクセス許可を付与します 書き込み

user*

CreateOpenIDConnectProvider OpenID Connect (IAM) をサポートする ID プロバイダー (IdP) を記述する OIDC リソースを作成するアクセス許可を付与します 書き込み

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicy 新しい管理ポリシーを作成する許可を付与 Permissions management

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicyVersion 指定された管理ポリシーの新しいバージョンを作成する許可を付与 Permissions management

policy*

CreateRole 新しいロールを作成する許可を付与 書き込み

role*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateSAMLProvider IAM 2.0 をサポートする ID プロバイダー (IdP) を記述する SAML リソースを作成するアクセス許可を付与します 書き込み

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceLinkedRole AWS サービスがユーザーに代わってアクションを実行できるようにする IAM ロールを作成するアクセス許可を付与します 書き込み

role*

iam:AWSServiceName

CreateServiceSpecificCredential IAM ユーザーの新しいサービス固有の認証情報を作成するアクセス許可を付与します 書き込み

user*

CreateUser 新しい IAM ユーザーを作成するアクセス許可を付与します 書き込み

user*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateVirtualMFADevice 新しい仮想 MFA デバイスを作成するアクセス許可を付与します 書き込み

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

DeactivateMFADevice 指定された MFA デバイスを非アクティブ化し、最初に有効にされた IAM ユーザーとの関連付けを削除するアクセス許可を付与します 書き込み

user*

DeleteAccessKey 指定された IAM ユーザーに関連付けられているアクセスキーペアを削除するアクセス許可を付与します 書き込み

user*

DeleteAccountAlias 指定された AWS アカウント エイリアスを削除する許可を付与 書き込み
DeleteAccountPasswordPolicy のパスワードポリシーを削除する許可を付与 AWS アカウント 権限の管理
DeleteCloudFrontPublicKey 既存の CloudFront パブリックキーを削除するアクセス許可を付与します 書き込み
DeleteGroup 指定された IAM グループを削除する許可を付与 書き込み

group*

DeleteGroupPolicy グループから指定されたインラインポリシーを削除する許可を付与 Permissions management

group*

DeleteInstanceProfile 指定されたインスタンスプロファイルを削除する許可を付与 書き込み

instance-profile*

DeleteLoginProfile 指定された IAM ユーザーのパスワードを削除するアクセス許可を付与します 書き込み

user*

DeleteOpenIDConnectProvider IAM で OpenID Connect ID プロバイダー (IdP) リソースオブジェクトを削除するアクセス許可を付与します 書き込み

oidc-provider*

DeletePolicy 指定された管理ポリシーを削除し、それがアタッチされている IAM エンティティ (ユーザー、グループ、またはロール) から削除するアクセス許可を付与します 権限の管理

policy*

DeletePolicyVersion 指定された管理ポリシーからバージョンを削除する許可を付与 Permissions management

policy*

DeleteRole 指定したロールを削除するアクセス許可を付与 書き込み

role*

DeleteRolePermissionsBoundary ロールからアクセス許可境界を削除する許可を付与 Permissions management

role*

iam:PermissionsBoundary

DeleteRolePolicy 指定されたロールから指定されたインラインポリシーを削除する許可を付与 権限の管理

role*

iam:PermissionsBoundary

DeleteSAMLProvider SAML で IAM プロバイダーリソースを削除するアクセス許可を付与します 書き込み

saml-provider*

DeleteSSHPublicKey 指定された SSH パブリックキーを削除するアクセス許可を付与します 書き込み

user*

DeleteServerCertificate 指定されたサーバー証明書を削除する許可を付与 書き込み

server-certificate*

DeleteServiceLinkedRole AWS サービスで使用されなくなった場合に、特定のサービスにリンクされた IAM ロールを削除するアクセス許可を付与します 書き込み

role*

DeleteServiceSpecificCredential IAM ユーザーの指定されたサービス固有の認証情報を削除する許可を付与 書き込み

user*

DeleteSigningCertificate 指定された IAM ユーザーに関連付けられている署名証明書を削除するアクセス許可を付与します 書き込み

user*

DeleteUser 指定された IAM ユーザーを削除する許可を付与 書き込み

user*

DeleteUserPermissionsBoundary 指定された IAM ユーザーからアクセス許可の境界を削除するアクセス許可を付与します 権限の管理

user*

iam:PermissionsBoundary

DeleteUserPolicy IAM ユーザーから指定されたインラインポリシーを削除するアクセス許可を付与します 権限の管理

user*

iam:PermissionsBoundary

DeleteVirtualMFADevice 仮想 MFA デバイスを削除するアクセス許可を付与します 書き込み

mfa

sms-mfa

DetachGroupPolicy 指定された IAM グループから管理ポリシーをデタッチするアクセス許可を付与します 権限の管理

group*

iam:PolicyARN

DetachRolePolicy 指定されたロールから管理ポリシーをデタッチする許可を付与 権限の管理

role*

iam:PolicyARN

iam:PermissionsBoundary

DetachUserPolicy 指定された IAM ユーザーから管理ポリシーをデタッチするアクセス許可を付与します 権限の管理

user*

iam:PolicyARN

iam:PermissionsBoundary

DisableOrganizationsRootCredentialsManagement 現在のアカウントで管理されている組織のメンバーアカウントのルートユーザー認証情報の管理を無効にするアクセス許可を付与します 書き込み
DisableOrganizationsRootSessions 現在のアカウントで管理されている組織のメンバーアカウントで特権ルートアクションを無効にするアクセス許可を付与します 書き込み
EnableMFADevice MFA デバイスを有効にし、指定した IAM ユーザーに関連付けるアクセス許可を付与します 書き込み

user*

iam:RegisterSecurityKey

iam:FIDO-FIPS-140-2-certification

iam:FIDO-FIPS-140-3-certification

iam:FIDO-certification

EnableOrganizationsRootCredentialsManagement 現在のアカウントで管理されている組織のメンバーアカウントのルートユーザー認証情報の管理を有効にするアクセス許可を付与します 書き込み
EnableOrganizationsRootSessions 現在のアカウントで管理されている組織のメンバーアカウントで特権ルートアクションを有効にするアクセス許可を付与します 書き込み
GenerateCredentialReport の認証情報レポートを生成するアクセス許可を付与します AWS アカウント 読み取り
GenerateOrganizationsAccessReport AWS Organizations エンティティのアクセスレポートを生成するアクセス許可を付与します 読み取り

access-report*

organizations:DescribePolicy

organizations:ListChildren

organizations:ListParents

organizations:ListPoliciesForTarget

organizations:ListRoots

organizations:ListTargetsForPolicy

iam:OrganizationsPolicyId

GenerateServiceLastAccessedDetails IAM リソースのサービスの最終アクセスデータレポートを生成するアクセス許可を付与します 読み取り

group*

policy*

role*

user*

GetAccessKeyLastUsed 指定されたアクセスキーの最後の使用時の情報を取得する許可を付与 読み取り

user*

GetAccountAuthorizationDetails 相互の関係など、 内のすべての IAM ユーザー、グループ AWS アカウント、ロール、ポリシーに関する情報を取得するアクセス許可を付与します 読み取り
GetAccountEmailAddress アカウントに関連付けられている E メールアドレスを取得するアクセス許可を付与 読み取り
GetAccountName アカウントに関連付けられているアカウント名を取得するアクセス許可を付与 読み取り
GetAccountPasswordPolicy のパスワードポリシーを取得する許可を付与 AWS アカウント 読み取り
GetAccountSummary の IAM エンティティの使用状況と IAM クォータに関する情報を取得するアクセス許可を付与します AWS アカウント リスト
GetCloudFrontPublicKey 指定された CloudFront パブリックキーに関する情報を取得するアクセス許可を付与します 読み取り
GetContextKeysForCustomPolicy 指定されたポリシーで参照されているコンテキストキーのすべてのリストを取得する許可を付与 読み取り
GetContextKeysForPrincipalPolicy 指定された IAM ID (ユーザー、グループ、またはロール) にアタッチされているすべての IAM ポリシーで参照されているすべてのコンテキストキーのリストを取得するアクセス許可を付与します 読み取り

group

role

user

GetCredentialReport の認証情報レポートを取得する許可を付与 AWS アカウント 読み取り
GetGroup 指定された IAM グループ内の IAM ユーザーのリストを取得するアクセス許可を付与します 読み取り

group*

GetGroupPolicy 指定された IAM グループに埋め込まれているインラインポリシードキュメントを取得するアクセス許可を付与します 読み取り

group*

GetInstanceProfile インスタンスプロファイルのパス、GUID、Word、ARNロールなど、指定されたインスタンスプロファイルに関する情報を取得するアクセス許可を付与します 読み取り

instance-profile*

GetLoginProfile 指定された IAM ユーザーのユーザー名とパスワードの作成日を取得するアクセス許可を付与します リスト

user*

GetMFADevice 指定されたユーザーの MFA デバイスに関する情報を取得するアクセス許可を付与します 読み取り

user*

GetOpenIDConnectProvider IAM で指定された OpenID Connect (OIDC) プロバイダーリソースに関する情報を取得する許可を付与 読み取り

oidc-provider*

GetOrganizationsAccessReport AWS Organizations アクセスレポートを取得する許可を付与 読み取り
GetPolicy 指定された管理ポリシーについて、そのポリシーのデフォルトバージョン、そのポリシーがアタッチされているアイデンティティの総数といった情報を取得するアクセス許可を付与 読み込み

policy*

GetPolicyVersion 指定の管理ポリシーのバージョンについて、ポリシードキュメントなどの情報を取得する許可を付与 読み取り

policy*

GetRole ロールのパス、GUID、ARN、ロールの信頼ポリシーなど、指定されたロールに関する情報を取得する許可を付与 読み取り

role*

GetRolePolicy 指定された IAM ロールに埋め込まれたインラインポリシードキュメントを取得するアクセス許可を付与します 読み取り

role*

GetSAMLProvider SAML プロバイダーリソースが作成または更新されたときにアップロードされた IAM SAML プロバイダーメタドキュメントを取得するアクセス許可を付与します 読み取り

saml-provider*

GetSSHPublicKey キーに関するメタデータを含む、指定された SSH パブリックキーを取得するアクセス許可を付与します 読み取り

user*

GetServerCertificate IAM に保存されている指定されたサーバー証明書に関する情報を取得する許可を付与 読み取り

server-certificate*

GetServiceLastAccessedDetails サービスの最終アクセス時間データレポートに関する情報を取得する許可を付与 読み込み
GetServiceLastAccessedDetailsWithEntities サービスの最終アクセス時間データレポートからのエンティティに関する情報を取得する許可を付与 読み取り
GetServiceLinkedRoleDeletionStatus IAM サービスにリンクされたロールの削除ステータスを取得する許可を付与 読み取り

role*

GetUser ユーザーの作成日、パス、一意の ID、IAM など、指定された ARN ユーザーに関する情報を取得するアクセス許可を付与します 読み取り

user*

GetUserPolicy 指定された IAM ユーザーに埋め込まれているインラインポリシードキュメントを取得するアクセス許可を付与します 読み取り

user*

ListAccessKeys 指定された IDs ユーザーに関連付けられているアクセスキー IAM に関する情報を一覧表示するアクセス許可を付与します リスト

user*

ListAccountAliases に関連付けられているアカウントエイリアスを一覧表示する許可を付与 AWS アカウント リスト
ListAttachedGroupPolicies 指定された IAM グループにアタッチされているすべての管理ポリシーを一覧表示するアクセス許可を付与します リスト

group*

ListAttachedRolePolicies 指定された IAM ロールにアタッチされているすべての管理ポリシーを一覧表示するアクセス許可を付与します リスト

role*

ListAttachedUserPolicies 指定された IAM ユーザーにアタッチされているすべての管理ポリシーを一覧表示するアクセス許可を付与します リスト

user*

ListCloudFrontPublicKeys アカウントのすべての current CloudFront パブリックキーを一覧表示するアクセス許可を付与します リスト
ListEntitiesForPolicy 指定された管理ポリシーがアタッチされているすべての IAM ID を一覧表示するアクセス許可を付与します リスト

policy*

ListGroupPolicies 指定された IAM グループに埋め込まれているインラインポリシーの名前を一覧表示するアクセス許可を付与します リスト

group*

ListGroups 指定されたパスプレフィックスを持つ IAM グループを一覧表示するアクセス許可を付与します リスト
ListGroupsForUser 指定された IAM ユーザーが属する IAM グループを一覧表示するアクセス許可を付与します リスト

user*

ListInstanceProfileTags 指定されたインスタンスプロファイルにアタッチされているタグを一覧表示する許可を付与 リスト

instance-profile*

ListInstanceProfiles 指定されたパスのプレフィックスを持つインスタンスプロファイルを一覧表示する許可を付与 リスト
ListInstanceProfilesForRole 指定された関連付けられた IAM ロールを持つインスタンスプロファイルを一覧表示する許可を付与 リスト

role*

ListMFADeviceTags 指定された仮想 MFA デバイスにアタッチされているタグを一覧表示する許可を付与 リスト

mfa*

ListMFADevices MFA ユーザーの IAM デバイスを一覧表示するアクセス許可を付与します リスト

user

ListOpenIDConnectProviderTags 指定された OpenID Connect プロバイダーにアタッチされているタグを一覧表示する許可を付与 リスト

oidc-provider*

ListOpenIDConnectProviders で定義されている IAM OpenID Connect (OIDC) プロバイダーリソースオブジェクトに関する情報を一覧表示する許可を付与 AWS アカウント リスト
ListOrganizationsFeatures 組織で有効になっている集中型ルートアクセス機能を一覧表示するアクセス許可を付与します リスト
ListPolicies すべての管理ポリシーを一覧表示する許可を付与 リスト
ListPoliciesGrantingServiceAccess エンティティに特定のサービスへのアクセスを付与ポリシーに関する情報をリストする許可を付与 リスト

group*

role*

user*

ListPolicyTags 指定された管理ポリシーにアタッチされているタグを一覧表示する許可を付与 リスト

policy*

ListPolicyVersions ポリシーのデフォルトバージョンとして設定されているバージョンを含め、指定された管理ポリシーのバージョンに関する情報を一覧表示するアクセス許可を付与 リスト

policy*

ListRolePolicies 指定された IAM ロールに埋め込まれているインラインポリシーの名前を一覧表示するアクセス許可を付与します リスト

role*

ListRoleTags 指定された IAM ロールにアタッチされているタグを一覧表示するアクセス許可を付与します リスト

role*

ListRoles 指定されたパスプレフィックスを持つ IAM ロールを一覧表示する許可を付与 リスト
ListSAMLProviderTags 指定された SAML プロバイダーにアタッチされているタグを一覧表示するアクセス許可を付与します リスト

saml-provider*

ListSAMLProviders SAML で IAM プロバイダーリソースを一覧表示するアクセス許可を付与します リスト
ListSSHPublicKeys 指定された SSH ユーザーに関連付けられている IAM パブリックキーに関する情報を一覧表示するアクセス許可を付与します リスト

user*

ListSTSRegionalEndpointsStatus すべてのアクティブな STS リージョンエンドポイントのステータスを一覧表示するアクセス許可を付与します リスト
ListServerCertificateTags 指定されたサーバー証明書にアタッチされているタグを一覧表示する許可を付与 リスト

server-certificate*

ListServerCertificates 指定されたパスのプレフィックスを持つサーバー証明書を一覧表示する許可を付与 リスト
ListServiceSpecificCredentials 指定された IAM ユーザーに関連付けられているサービス固有の認証情報を一覧表示するアクセス許可を付与します リスト

user*

ListSigningCertificates 指定された IAM ユーザーに関連付けられている署名証明書に関する情報を一覧表示するアクセス許可を付与します リスト

user*

ListUserPolicies 指定された IAM ユーザーに埋め込まれているインラインポリシーの名前を一覧表示するアクセス許可を付与します リスト

user*

ListUserTags 指定された IAM ユーザーにアタッチされているタグを一覧表示するアクセス許可を付与します リスト

user*

ListUsers 指定されたパスプレフィックスを持つ IAM ユーザーを一覧表示するアクセス許可を付与します リスト
ListVirtualMFADevices 割り当てステータス別に仮想 MFA デバイスを一覧表示するアクセス許可を付与します リスト
PassRole[アクセス許可のみ] サービスにロールを渡すアクセス許可を付与 書き込み

role*

iam:AssociatedResourceArn

iam:PassedToService

PutGroupPolicy 指定された IAM グループに埋め込まれているインラインポリシードキュメントを作成または更新するアクセス許可を付与します 権限の管理

group*

PutRolePermissionsBoundary ロールのアクセス許可境界として管理ポリシーを設定する許可を付与 権限の管理

role*

iam:PermissionsBoundary

PutRolePolicy 指定された IAM ロールに埋め込まれたインラインポリシードキュメントを作成または更新するアクセス許可を付与します 権限の管理

role*

iam:PermissionsBoundary

PutUserPermissionsBoundary IAM ユーザーのアクセス許可の境界として管理ポリシーを設定するアクセス許可を付与します 権限の管理

user*

iam:PermissionsBoundary

PutUserPolicy 指定された IAM ユーザーに埋め込まれているインラインポリシードキュメントを作成または更新するアクセス許可を付与します 権限の管理

user*

iam:PermissionsBoundary

RemoveClientIDFromOpenIDConnectProvider 指定された IDs OpenID Connect (IAM) プロバイダーリソースのクライアント Word のリストからクライアント ID (対象者OIDC) を削除するアクセス許可を付与します 書き込み

oidc-provider*

RemoveRoleFromInstanceProfile 指定された IAM インスタンスプロファイルから EC2 ロールを削除するアクセス許可を付与します 書き込み

instance-profile*

RemoveUserFromGroup 指定されたグループから IAM ユーザーを削除するアクセス許可を付与します 書き込み

group*

ResetServiceSpecificCredential IAM ユーザーの既存のサービス固有の認証情報のパスワードをリセットするアクセス許可を付与します 書き込み

user*

ResyncMFADevice 指定された MFA デバイスを IAM エンティティ (ユーザーまたはロール) と同期するアクセス許可を付与します 書き込み

user*

SetDefaultPolicyVersion 指定されたポリシーの指定されたバージョンを、ポリシーのデフォルトバージョンとして設定する許可を付与 権限の管理

policy*

SetSTSRegionalEndpointStatus STS リージョンエンドポイントをアクティブ化または非アクティブ化するアクセス許可を付与します 書き込み
SetSecurityTokenServicePreferences STS グローバルエンドポイントトークンバージョンを設定するアクセス許可を付与します 書き込み
SimulateCustomPolicy アイデンティティベースのポリシーまたはリソースベースのポリシーが特定の API オペレーションとリソースのアクセス許可を提供するかどうかをシミュレートするアクセス許可を付与します 読み取り
SimulatePrincipalPolicy 指定された IAM エンティティ (ユーザーまたはロール) にアタッチされたアイデンティティベースのポリシーが、特定の API オペレーションとリソースのアクセス許可を提供するかどうかをシミュレートするアクセス許可を付与します 読み取り

group

role

user

TagInstanceProfile インスタンスプロファイルにタグを追加する許可を付与 タグ付け

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

TagMFADevice 仮想 MFA デバイスにタグを追加する許可を付与 タグ付け

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

TagOpenIDConnectProvider OpenID Connect プロバイダーにタグを追加する許可を付与 タグ付け

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagPolicy 管理ポリシーにタグを追加する許可を付与 タグ付け

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

TagRole IAM ロールにタグを追加する許可を付与 タグ付け

role*

aws:TagKeys

aws:RequestTag/${TagKey}

TagSAMLProvider SAML プロバイダーにタグを追加する許可を付与 タグ付け

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagServerCertificate サーバー証明書にタグを追加する許可を付与 タグ付け

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

TagUser IAM ユーザーにタグを追加する許可を付与 タグ付け

user*

aws:TagKeys

aws:RequestTag/${TagKey}

UntagInstanceProfile インスタンスプロファイルから指定したタグを削除する許可を付与 タグ付け

instance-profile*

aws:TagKeys

UntagMFADevice 仮想 MFA デバイスから指定したタグを削除する許可を付与 タグ付け

mfa*

aws:TagKeys

UntagOpenIDConnectProvider 指定されたタグを OpenID Connect プロバイダーから削除する許可を付与 タグ付け

oidc-provider*

aws:TagKeys

UntagPolicy 管理ポリシーから指定したタグを削除する許可を付与 タグ付け

policy*

aws:TagKeys

UntagRole ロールから指定したタグを削除する許可を付与 タグ付け

role*

aws:TagKeys

UntagSAMLProvider SAML プロバイダーから指定されたタグを削除するアクセス許可を付与します タグ付け

saml-provider*

aws:TagKeys

UntagServerCertificate サーバー証明書から指定したタグを削除する許可を付与 タグ付け

server-certificate*

aws:TagKeys

UntagUser ユーザーから指定したタグを削除する許可を付与 タグ付け

user*

aws:TagKeys

UpdateAccessKey 指定されたアクセスキーステータスをアクティブまたは非アクティブとして更新するアクセス許可を付与 書き込み

user*

UpdateAccountEmailAddress アカウントに関連付けられている E メールアドレスを更新するアクセス許可を付与 書き込み
UpdateAccountName アカウントに関連付けられているアカウント名を更新するアクセス許可を付与 書き込み
UpdateAccountPasswordPolicy のパスワードポリシー設定を更新する許可を付与 AWS アカウント 書き込み
UpdateAssumeRolePolicy ロールを引き受けるアクセス許可を IAM エンティティに付与するポリシーを更新するアクセス許可を付与します 権限の管理

role*

UpdateCloudFrontPublicKey 既存の CloudFront パブリックキーを更新する許可を付与 書き込み
UpdateGroup 指定された IAM グループの名前またはパスを更新する許可を付与 書き込み

group*

UpdateLoginProfile 指定された IAM ユーザーのパスワードを変更するアクセス許可を付与します 書き込み

user*

UpdateOpenIDConnectProviderThumbprint OpenID Connect (OIDC) プロバイダーリソースに関連付けられているサーバー証明書のサムプリントのリスト全体を更新する許可を付与 書き込み

oidc-provider*

UpdateRole ロールの説明または最大セッション継続時間の設定を更新する許可を付与 書き込み

role*

UpdateRoleDescription ロールの説明のみを更新する許可を付与 書き込み

role*

UpdateSAMLProvider 既存の SAML プロバイダーリソースのメタデータドキュメントを更新する許可を付与 書き込み

saml-provider*

UpdateSSHPublicKey IAM ユーザーの SSH パブリックキーのステータスをアクティブまたは非アクティブに更新するアクセス許可を付与します 書き込み

user*

UpdateServerCertificate IAM に保存されている指定されたサーバー証明書の名前またはパスを更新する許可を付与 書き込み

server-certificate*

UpdateServiceSpecificCredential IAM ユーザーのサービス固有の認証情報のステータスをアクティブまたは非アクティブに更新するアクセス許可を付与します 書き込み

user*

UpdateSigningCertificate 指定されたユーザー署名証明書のステータスを有効または無効に更新する許可を付与 書き込み

user*

UpdateUser 指定された IAM ユーザーの名前またはパスを更新する許可を付与 書き込み

user*

UploadCloudFrontPublicKey CloudFront パブリックキーをアップロードする許可を付与 書き込み
UploadSSHPublicKey SSH パブリックキーをアップロードし、指定した IAM ユーザーに関連付けるアクセス許可を付与します 書き込み

user*

UploadServerCertificate のサーバー証明書エンティティをアップロードする許可を付与 AWS アカウント 書き込み

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

UploadSigningCertificate X.509 署名証明書をアップロードし、指定された IAM ユーザーに関連付けるアクセス許可を付与します 書き込み

user*

AWS Identity and Access Management (IAM) で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
access-report arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user arn:${Partition}:iam::${Account}:federated-user/${UserName}
group arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}

aws:ResourceTag/${TagKey}

mfa arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}

aws:ResourceTag/${TagKey}

oidc-provider arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}

aws:ResourceTag/${TagKey}

role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

saml-provider arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}

aws:ResourceTag/${TagKey}

server-certificate arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}

aws:ResourceTag/${TagKey}

sms-mfa arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

AWS Identity and Access Management (IAM) の条件キー

AWS Identity and Access Management (IAM) では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします ArrayOfString
iam:AWSServiceName このロールがアタッチされている AWS サービスでアクセスをフィルタリングします 文字列
iam:AssociatedResourceArn ロールが代わりに使用されるリソースによるアクセスをフィルタリングします ARN
iam:FIDO-FIPS-140-2-certification MFA セキュリティキーの登録時に、FIDO デバイス FIPS-140-2 検証証明書レベルによってアクセスをフィルタリングします 文字列
iam:FIDO-FIPS-140-3-certification MFA セキュリティキーの登録時に、FIDO デバイス FIPS-140-3 検証証明書レベルによってアクセスをフィルタリングします 文字列
iam:FIDO-certification MFA セキュリティキーの登録時に FIDO デバイス FIDO 証明書レベルによってアクセスをフィルタリングします 文字列
iam:OrganizationsPolicyId AWS Organizations ポリシーの ID でアクセスをフィルタリングします 文字列
iam:PassedToService このロールが渡される AWS サービスによってアクセスをフィルタリングします 文字列
iam:PermissionsBoundary 指定されたポリシーが IAM エンティティ (ユーザーまたはロール) のアクセス許可の境界として設定されている場合、アクセスをフィルタリングします ARN
iam:PolicyARN ARN ポリシーの IAM でアクセスをフィルタリングします ARN
iam:RegisterSecurityKey MFA デバイス有効化の現在の状態に基づいてアクセスをフィルタリングします 文字列
iam:ResourceTag/${TagKey} IAM エンティティ (ユーザーまたはロール) にアタッチされたタグでアクセスをフィルタリングします 文字列