AWS Security Token Service のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Security Token Service のアクション、リソース、および条件キー

AWS Security Token Service (サービスプレフィックス: sts) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Security Token Service で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssumeRole 通常はアクセスできない AWS リソースへのアクセスに使用できる一時的なセキュリティ認証情報のセットを返します。 書き込み

role*

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:ExternalId

sts:RoleSessionName

iam:ResourceTag/${TagKey}

AssumeRoleWithSAML SAML 認証レスポンスによって認証されたユーザーの一時的なセキュリティ認証情報のセットを返します。 書き込み

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

AssumeRoleWithWebIdentity モバイルまたはウェブアプリケーションでウェブ ID プロバイダーを使用して認証されたユーザーに一時的なセキュリティ認証情報のセットを返します。 書き込み

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

DecodeAuthorizationMessage AWS リクエストに応答して返るエンコードされたメッセージから、リクエストの承認ステータスに関する追加情報をデコードします。 書き込み
GetAccessKeyInfo リクエストにパラメータとして渡されたアクセスキー ID に関する詳細を返します。 Read
GetCallerIdentity API の呼び出しに認証情報が使用される対象の IAM 識別情報の詳細を返します。 Read
GetFederationToken フェデレーティッドユーザーの一時的なセキュリティ認証情報 (アクセスキー ID、シークレットアクセスキー、セキュリティトークンで構成される) を返します。 Read

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

GetServiceBearerToken [アクセス許可のみ] AWS ルートユーザー、IAM ロール、または IAM ユーザーの STS ベアラートークンを返します Read
GetSessionToken AWS アカウントまたは IAM ユーザーの一時的なセキュリティ認証情報一式 (アクセスキー ID、シークレットアクセスキー、セキュリティトークンで構成) を返します。 Read
TagSession [アクセス許可のみ] STS セッションにタグを追加するアクセス許可を付与します タグ付け

role

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

AWS Security Token Service で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

AWS Security Token Service の条件キー

AWS Security Token Service は、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
accounts.google.com:aud Google アプリケーション ID に基づいてアクションをフィルタリングします。 文字列
accounts.google.com:oaud Google 対象者に基づいてアクションをフィルタリングします。 文字列
accounts.google.com:sub クレームの件名 (Google ユーザー ID) に基づいてアクションをフィルタリングします。 文字列
aws:FederatedProvider ユーザーの認証に使用された IdP に基づいてアクションをフィルタリングします。 文字列
aws:PrincipalTag/${TagKey} リクエストを作成しているプリンシパルに関連付けられたタグに基づいてアクションをフィルタリングします。 文字列
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 文字列
cognito-identity.amazonaws.com:amr Amazon Cognito のログイン情報に基づいてアクションをフィルタリングします。 文字列
cognito-identity.amazonaws.com:aud Amazon Cognito ID プール ID に基づいてアクションをフィルタリングします。 文字列
cognito-identity.amazonaws.com:sub クレームの件名 (Amazon Cognito ユーザー ID) に基づいてアクションをフィルタリングします。 文字列
graph.facebook.com:app_id Facebook アプリケーション ID に基づいてアクションをフィルタリングします。 文字列
graph.facebook.com:id Facebook ユーザー ID に基づいてアクションをフィルタリングします。 文字列
iam:ResourceTag/${TagKey} 引き受けるロールにアタッチされているタグに基づいてアクションをフィルタリングする 文字列
saml:aud SAML アサーションの提供先のエンドポイント URL に基づいてアクションをフィルタリングします。 文字列
saml:cn eduOrg 属性に基づいてアクションをフィルタリングします。 文字列
saml:commonName commonName 属性に基づいてアクションをフィルタリングします。 文字列
saml:doc ロールを引き受けるために使用されたプリンシパルに基づいてアクションをフィルタリングします。 文字列
saml:eduorghomepageuri eduOrg 属性に基づいてアクションをフィルタリングします。 文字列
saml:eduorgidentityauthnpolicyuri eduOrg 属性に基づいてアクションをフィルタリングします。 文字列
saml:eduorglegalname eduOrg 属性に基づいてアクションをフィルタリングします。 文字列
saml:eduorgsuperioruri eduOrg 属性に基づいてアクションをフィルタリングします。 文字列
saml:eduorgwhitepagesuri eduOrg 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonaffiliation eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonassurance eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonentitlement eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonnickname eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonorgdn eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonorgunitdn eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonprimaryaffiliation eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonprimaryorgunitdn eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonprincipalname eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersonscopedaffiliation eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:edupersontargetedid eduPerson 属性に基づいてアクションをフィルタリングします。 文字列
saml:givenName givenName 属性に基づいてアクションをフィルタリングします。 文字列
saml:iss URN で表される発行者に基づいてアクションをフィルタリングします。 文字列
saml:mail メール属性に基づいてアクションをフィルタリングします。 文字列
saml:name name 属性に基づいてアクションをフィルタリングします。 文字列
saml:namequalifier 発行者のハッシュ値、アカウント ID、およびフレンドリ名に基づいてアクションをフィルタリングします。 文字列
saml:organizationStatus organizationStatus 属性に基づいてアクションをフィルタリングします。 文字列
saml:primaryGroupSID primaryGroupSID 属性に基づいてアクションをフィルタリングします。 文字列
saml:sub クレームの件名 (SAML ユーザー ID) に基づいてアクションをフィルタリングします。 文字列
saml:sub_type 永続的、一時的、または完全な形式 URI の値に基づいてアクションをフィルタリングします。 文字列
saml:surname surname 属性に基づいてアクションをフィルタリングします。 文字列
saml:uid uid 属性に基づいてアクションをフィルタリングします。 文字列
saml:x500UniqueIdentifier uid 属性に基づいてアクションをフィルタリングします。 文字列
sts:ExternalId 別のアカウントでロールを引き受けるときに必須の一意の識別子に基づいてアクションをフィルタリングします。 文字列
sts:RoleSessionName ロールを引き受けるときに必須のロールセッション名に基づいてアクションをフィルタリングします。 文字列
sts:TransitiveTagKeys リクエストで渡された推移的なタグキーに基づいてアクションをフィルタリングします。 文字列
www.amazon.com:app_id Login with Amazon アプリケーション ID に基づいてアクションをフィルタリングします。 文字列
www.amazon.com:user_id Login with Amazon ユーザー ID に基づいてアクションをフィルタリングします。 文字列