AWS Resource Access Manager (RAM) のアクション、リソース、および条件キー

AWS Resource Access Manager (RAM) (サービスプレフィックス: ram) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

AWS Resource Access Manager (RAM) で定義されるアクション
AWS Resource Access Manager (RAM) で定義されるリソースタイプ
AWS Resource Access Manager (RAM) の条件キー

AWS Resource Access Manager (RAM) で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー	依存アクション
AcceptResourceShareInvitation	指定されたリソース共有の招待を受け入れるアクセス許可を付与します。	Write	resource-share-invitation*
AcceptResourceShareInvitation	指定されたリソース共有の招待を受け入れるアクセス許可を付与します。	Write		ram:ShareOwnerAccountId ram:ResourceShareName
AssociateResourceShare	リソースやプリンシパルをリソース共有に関連付けるアクセス許可を付与します	Write	resource-share*
AssociateResourceShare	リソースやプリンシパルをリソース共有に関連付けるアクセス許可を付与します	Write		aws:ResourceTag/${TagKey} ram:ResourceTag/${TagKey} ram:ResourceShareName ram:AllowsExternalPrincipals ram:Principal ram:RequestedResourceType ram:ResourceArn
AssociateResourceSharePermission	アクセス許可をリソース共有に関連付けるアクセス許可を付与します	書き込み	customer-managed-permission*
			permission*
			resource-share*
CreatePermission	リソース共有に関連付けるアクセス許可を作成するアクセス許可を付与します	書き込み		ram:PermissionArn ram:PermissionResourceType aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys	ram:TagResource
CreatePermissionVersion	リソース共有に関連付けるアクセス許可の新しいバージョンを作成するアクセス許可を付与します	書き込み	customer-managed-permission*
CreatePermissionVersion	リソース共有に関連付けるアクセス許可の新しいバージョンを作成するアクセス許可を付与します	書き込み		ram:PermissionArn ram:PermissionResourceType
CreateResourceShare	指定されたリソースやプリンシパルでリソース共有を作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys ram:RequestedResourceType ram:ResourceArn ram:RequestedAllowsExternalPrincipals ram:Principal
DeletePermission	指定されたアクセス許可を削除するアクセス許可を付与します	書き込み	customer-managed-permission*
DeletePermission	指定されたアクセス許可を削除するアクセス許可を付与します	書き込み		aws:ResourceTag/${TagKey} ram:PermissionArn ram:PermissionResourceType
DeletePermissionVersion	指定されたアクセス許可のバージョンを削除するアクセス許可を付与します	書き込み	customer-managed-permission*
DeletePermissionVersion	指定されたアクセス許可のバージョンを削除するアクセス許可を付与します	書き込み		ram:PermissionArn ram:PermissionResourceType
DeleteResourceShare	リソース共有を削除する許可を付与	Write	resource-share*
DeleteResourceShare	リソース共有を削除する許可を付与	Write		aws:ResourceTag/${TagKey} ram:ResourceTag/${TagKey} ram:ResourceShareName ram:AllowsExternalPrincipals
DisassociateResourceShare	リソース共有からリソースやプリンシパルの関連付けを解除する許可を付与	Write	resource-share*
DisassociateResourceShare	リソース共有からリソースやプリンシパルの関連付けを解除する許可を付与	Write		aws:ResourceTag/${TagKey} ram:ResourceTag/${TagKey} ram:ResourceShareName ram:AllowsExternalPrincipals ram:Principal ram:RequestedResourceType ram:ResourceArn
DisassociateResourceSharePermission	リソース共有からのアクセス許可の関連付けを解除する許可を付与	Write	customer-managed-permission*
			permission*
			resource-share*
EnableSharingWithAwsOrganization	お客様の組織へのアクセス許可を付与し、お客様のアカウントで SLR を作成します。	権限の管理			iam:CreateServiceLinkedRole organizations:DescribeOrganization organizations:EnableAWSServiceAccess
GetPermission	AWS RAM アクセス許可の内容を取得するアクセス許可を付与します	読み取り	customer-managed-permission*
			permission*
				ram:PermissionArn
GetResourcePolicies	ユーザーが所有し、共有している、指定されたリソースのポリシーを取得する許可を付与	Read
GetResourceShareAssociations	提供されたリストからまたは指定されたタイプの指定されたステータスを使用して、一連のリソースの共有の関連付けを取得する許可を付与	Read
GetResourceShareInvitations	指定された招待 arn によるリソースの共有の招待、またはリソースの共有のためのリソースの共有の招待を取得する許可を付与	Read
GetResourceShares	提供されたリストからまたは指定されたステータスを使用して、一連のリソースの共有を取得する許可を付与	Read		aws:RequestTag/${TagKey} aws:TagKeys
ListPendingInvitationResources	ユーザーと共有されていますが、招待が保留中であるリソースの共有のリソースを一覧表示する許可を付与	読み取り	resource-share-invitation*
ListPendingInvitationResources	ユーザーと共有されていますが、招待が保留中であるリソースの共有のリソースを一覧表示する許可を付与	読み取り		ram:ResourceShareName
ListPermissionAssociations	アクセス許可と、その関連付けに関する情報を一覧表示する許可を付与	リスト	customer-managed-permission*
			permission*
				ram:PermissionArn ram:PermissionResourceType
ListPermissionVersions	AWS RAM アクセス許可のバージョンを一覧表示するアクセス許可を付与します	リスト
ListPermissions	AWS RAM アクセス許可を一覧表示するアクセス許可を付与します	リスト
ListPrincipals	リソースを共有しているプリンシパル、または共有リソースを持つプリンシパルを一覧表示する許可を付与	リスト
ListReplacePermissionAssociationsWork	非同期アクセス許可置換のステータスを取得するアクセス許可を付与します	リスト
ListResourceSharePermissions	リソース共有に関連付けられているアクセス許可の一覧を表示する許可を付与	リスト	resource-share*
ListResourceSharePermissions	リソース共有に関連付けられているアクセス許可の一覧を表示する許可を付与	リスト		aws:ResourceTag/${TagKey} ram:ResourceShareName ram:AllowsExternalPrincipals
ListResourceTypes	AWS RAM でサポートされている共有可能なリソースタイプを一覧表示するアクセス許可を付与します	リスト
ListResources	リソース共有に追加したリソース、または自分と共有しているリソースを一覧表示する許可を付与	リスト
PromotePermissionCreatedFromPolicy	完全に管理可能な個別のカスタマー管理アクセス許可を作成するアクセス許可を付与します	書き込み	customer-managed-permission*
PromotePermissionCreatedFromPolicy	完全に管理可能な個別のカスタマー管理アクセス許可を作成するアクセス許可を付与します	書き込み		ram:PermissionArn ram:PermissionResourceType
PromoteResourceShareCreatedFromPolicy	指定されたリソース共有を昇格する許可を付与	Write	resource-share*
RejectResourceShareInvitation	指定されたリソース共有の招待を拒否する許可を付与	書き込み	resource-share-invitation*
RejectResourceShareInvitation	指定されたリソース共有の招待を拒否する許可を付与	書き込み		ram:ShareOwnerAccountId ram:ResourceShareName
ReplacePermissionAssociations	すべてのリソース共有を新しいアクセス許可に更新する許可を付与	書き込み	customer-managed-permission*
			permission*
				ram:PermissionArn ram:PermissionResourceType
SetDefaultPermissionVersion	各カスタマー管理アクセス許可のデフォルトバージョンとしてバージョン番号を指定するアクセス許可を付与します	書き込み	customer-managed-permission*
SetDefaultPermissionVersion	各カスタマー管理アクセス許可のデフォルトバージョンとしてバージョン番号を指定するアクセス許可を付与します	書き込み		ram:PermissionArn ram:PermissionResourceType
TagResource	指定されたリソースまたはアクセス許可にタグを付けるアクセス許可を付与します	タグ付け	customer-managed-permission
			resource-share
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	指定されたリソース共有またはアクセス許可のタグを解除するアクセス許可を付与します	タグ付け	customer-managed-permission
			resource-share
				aws:TagKeys
UpdateResourceShare	リソース共有の属性を更新する許可を付与	書き込み	resource-share*
UpdateResourceShare	リソース共有の属性を更新する許可を付与	書き込み		aws:ResourceTag/${TagKey} ram:ResourceTag/${TagKey} ram:ResourceShareName ram:AllowsExternalPrincipals ram:RequestedAllowsExternalPrincipals

AWS Resource Access Manager (RAM) で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
resource-share	`arn:${Partition}:ram:${Region}:${Account}:resource-share/${ResourcePath}`	aws:ResourceTag/${TagKey} ram:AllowsExternalPrincipals ram:ResourceShareName
resource-share-invitation	`arn:${Partition}:ram:${Region}:${Account}:resource-share-invitation/${ResourcePath}`	ram:ShareOwnerAccountId
permission	`arn:${Partition}:ram::${Account}:permission/${ResourcePath}`	ram:PermissionArn ram:PermissionResourceType
customer-managed-permission	`arn:${Partition}:ram:${Region}:${Account}:permission/${ResourcePath}`	aws:ResourceTag/${TagKey} ram:PermissionArn ram:PermissionResourceType

AWS Resource Access Manager (RAM) の条件キー

AWS Resource Access Manager (RAM) では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー	説明	[Type] (タイプ)
aws:RequestTag/${TagKey}	リソース共有を作成またはタグ付けする際にリクエストで渡されたタグで、アクセスをフィルタリングします。ユーザーがこれらのタグを渡さないか、タグをまったく指定しない場合、リクエストは失敗します	文字列
aws:ResourceTag/${TagKey}	リソースに関連付けられたタグでアクセスをフィルタリングします	文字列
aws:TagKeys	リソース共有を作成またはタグ付けする際に渡されたタグキーで、アクセスをフィルタリング	ArrayOfString
ram:AllowsExternalPrincipals	外部プリンシパルとの共有を許可または拒否するリソース共有で、アクセスをフィルタリングします。たとえば、外部プリンシパルとの共有を許可または拒否するリソースの共有でのみアクションを実行できる場合は true を指定します。外部プリンシパルは、 AWS 組織外の AWS アカウントです。	Bool
ram:PermissionArn	指定されたアクセス許可 ARN でアクセスをフィルタリング	ARN
ram:PermissionResourceType	指定されたリソースタイプのアクセス許可でアクセスをフィルタリング	文字列
ram:Principal	指定されたプリンシパルの形式でアクセスをフィルタリング	文字列
ram:RequestedAllowsExternalPrincipals	'allowExternalPrincipals' の指定された値でアクセスをフィルタリングします。外部プリンシパルは AWS 、組織の外部にある AWS アカウントです。	Bool
ram:RequestedResourceType	指定されたリソースタイプでアクセスをフィルタリング	文字列
ram:ResourceArn	指定された ARN でアクセスをフィルタリング	ARN
ram:ResourceShareName	指定された名前を持つリソース共有でアクセスをフィルタリング	文字列
ram:ResourceTag/${TagKey}	リソースに関連付けられたタグでアクセスをフィルタリングします	文字列
ram:ShareOwnerAccountId	特定のアカウントが所有するリソース共有でアクセスをフィルタリングします。例えば、この条件キーを使用して、リソース共有の所有者アカウント ID に基づいて、招待を承認または却下するリソースの共有を指定できます	文字列

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS レジリエンスハブ

AWS Resource Explorer