AWS Security Token Service のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Token Service のアクション、リソース、および条件キー

AWS Security Token Service (サービスプレフィックス: sts) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Security Token Service で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN または パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssumeRole 通常アクセスできない AWS リソースにアクセスするために使用できる一時的なセキュリティ認証情報のセットを取得するアクセス許可を付与します 書き込み

role*

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:ExternalId

sts:RoleSessionName

iam:ResourceTag/${TagKey}

sts:SourceIdentity

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:sub

saml:namequalifier

saml:sub

saml:sub_type

AssumeRoleWithSAML SAML 認証レスポンスを介して認証されたユーザーの一時的なセキュリティ認証情報のセットを取得するアクセス許可を付与します 書き込み

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

AssumeRoleWithWebIdentity モバイルもしくはウェブアプリケーションでウェブ ID プロバイダーを使用して認証されたユーザーに一時的なセキュリティ認証情報のセットを取得する権利を付与 書き込み

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

AssumeRoot 組織のメンバーアカウントで特権タスクを実行するために使用できる一時的なセキュリティ認証情報のセットを取得するアクセス許可を付与します 書き込み

root-user*

sts:TaskPolicyArn

DecodeAuthorizationMessage リクエストに応答して返されるエンコードされたメッセージから AWS 、リクエストの承認ステータスに関する追加情報をデコードするアクセス許可を付与します 書き込み
GetAccessKeyInfo リクエストにパラメータとして渡されたアクセスキー ID に関する詳細を取得するアクセス許可を付与 読み取り
GetCallerIdentity IAM の呼び出しに認証情報が使用される API ID に関する詳細を取得する許可を付与 読み取り
GetFederationToken フェデレーティッドユーザーの一時的なセキュリティ認証情報 (アクセスキー ID、シークレットアクセスキーおよびセキュリティトークンで構成される) を取得する権利を付与 読み取り

user

aws:TagKeys

aws:RequestTag/${TagKey}

GetServiceBearerToken[アクセス許可のみ] AWS ルートユーザー、STS IAMロール、または Word ユーザーの IAM ベアラートークンを取得する許可を付与 読み取り

sts:AWSServiceName

sts:DurationSeconds

GetSessionToken AWS アカウント または IAM ユーザーの一時的なセキュリティ認証情報のセット (アクセスキー ID、シークレットアクセスキー、およびセキュリティトークンで構成) を取得するアクセス許可を付与します 読み取り
SetContext[アクセス許可のみ] STS セッションでコンテキストキーを設定するアクセス許可を付与します 書き込み

role

self-session

sts:RequestContext/${ContextKey}

sts:RequestContextProviders

SetSourceIdentity[アクセス許可のみ] STS セッションでソース ID を設定するアクセス許可を付与します 書き込み

role

user

sts:SourceIdentity

TagSession[アクセス許可のみ] STS セッションにタグを追加する許可を付与 タグ付け

role

user

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

saml:aud

AWS Security Token Service で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}
root-user arn:${Partition}:iam::${Account}:root
self-session arn:${Partition}:sts::${Account}:self

AWS Security Token Service の条件キー

AWS Security Token Service では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
accounts.google.com:aud Google アプリケーション ID に基づいてアクションをフィルタリングします 文字列
accounts.google.com:oaud Google オーディエンスによるアクセスをフィルタリングします 文字列
accounts.google.com:sub クレームの件名 (Google ユーザー ID) に基づいてアクションをフィルタリングします 文字列
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString
cognito-identity.amazonaws.com:amr Amazon Cognito のログイン情報に基づいてアクションをフィルタリングします 文字列
cognito-identity.amazonaws.com:aud Amazon Cognito ID プール ID に基づいてアクションをフィルタリングします 文字列
cognito-identity.amazonaws.com:sub クレームの件名 (Amazon Cognito ユーザー ID) に基づいてアクションをフィルタリングします 文字列
graph.facebook.com:app_id Facebook アプリケーション ID に基づいてアクションをフィルタリングします 文字列
graph.facebook.com:id Facebook ユーザー ID に基づいてアクションをフィルタリングします 文字列
iam:ResourceTag/${TagKey} 引き受けるロールに取り付けられているタグに基づいてアクセスをフィルタリングします 文字列
saml:aud URL アサーションが表示されるエンドポイント SAML でアクセスをフィルタリングします 文字列
saml:cn eduOrg 属性でアクセスをフィルタリングします ArrayOfString
saml:commonName commonName 属性でアクセスをフィルタリングします 文字列
saml:doc ロールを引き受けるために使用されたプリンシパルに基づいてアクセスをフィルタリングします 文字列
saml:eduorghomepageuri eduOrg 属性でアクセスをフィルタリングします ArrayOfString
saml:eduorgidentityauthnpolicyuri eduOrg 属性でアクセスをフィルタリングします ArrayOfString
saml:eduorglegalname eduOrg 属性でアクセスをフィルタリングします ArrayOfString
saml:eduorgsuperioruri eduOrg 属性でアクセスをフィルタリングします ArrayOfString
saml:eduorgwhitepagesuri eduOrg 属性でアクセスをフィルタリングします ArrayOfString
saml:edupersonaffiliation eduPerson 属性でアクセスをフィルタリングします ArrayOfString
saml:edupersonassurance eduPerson 属性でアクセスをフィルタリングします ArrayOfString
saml:edupersonentitlement eduPerson 属性でアクセスをフィルタリングします ArrayOfString
saml:edupersonnickname eduPerson 属性でアクセスをフィルタリングします ArrayOfString
saml:edupersonorgdn eduPerson 属性でアクセスをフィルタリングします 文字列
saml:edupersonorgunitdn eduPerson 属性でアクセスをフィルタリングします ArrayOfString
saml:edupersonprimaryaffiliation eduPerson 属性でアクセスをフィルタリングします 文字列
saml:edupersonprimaryorgunitdn eduPerson 属性でアクセスをフィルタリングします 文字列
saml:edupersonprincipalname eduPerson 属性でアクセスをフィルタリングします 文字列
saml:edupersonscopedaffiliation eduPerson 属性でアクセスをフィルタリングします ArrayOfString
saml:edupersontargetedid eduPerson 属性でアクセスをフィルタリングします ArrayOfString
saml:givenName givenName 属性でアクセスをフィルタリングします 文字列
saml:iss URN で表される発行者の でアクセスをフィルタリングします 文字列
saml:mail メール属性でアクセスをフィルタリングします 文字列
saml:name name 属性でアクセスをフィルタリングします 文字列
saml:namequalifier 発行者のハッシュ値、アカウント ID、およびフレンドリー名に基づいてアクセスをフィルタリングします 文字列
saml:organizationStatus organizationStatus 属性でアクセスをフィルタリングします 文字列
saml:primaryGroupSID SID primaryGroup 属性でアクセスをフィルタリングします 文字列
saml:sub クレームの件名 (SAML ユーザー ID) でアクセスをフィルタリングします 文字列
saml:sub_type 永続的、一時的、または完全なフォーマットURIの値でアクセスをフィルタリングします 文字列
saml:surname surname 属性に基づいてアクションをフィルタリングします 文字列
saml:uid uid 属性でアクセスをフィルタリングします 文字列
saml:x500UniqueIdentifier uid 属性でアクセスをフィルタリングします 文字列
sts:AWSServiceName ベアラートークンを取得しているサービスによってアクセスをフィルタリングします 文字列
sts:DurationSeconds ベアラートークンを取得する時間 (秒単位) によってアクセスをフィルタリングします 文字列
sts:ExternalId 別のアカウントでロールを引き受けるときに必須の唯一の識別子に基づいてアクションをフィルタリングします 文字列
sts:RequestContext/${ContextKey} 信頼されたコンテキストプロバイダーから取得した署名付きコンテキストアサーションに埋め込まれているセッションコンテキストのキーと値のペアでアクセスをフィルタリングします 文字列
sts:RequestContextProviders コンテキストプロバイダーの ARNs でアクセスをフィルタリングします ArrayOfARN
sts:RoleSessionName ロールを引き受けるときに必須のロールセッション名に基づいてアクセスをフィルタリングします 文字列
sts:SourceIdentity リクエストで渡されたソース ID に基づいてアクセスをフィルタリングします 文字列
sts:TaskPolicyArn TaskPolicyARNWord でアクセスをフィルタリングします 文字列
sts:TransitiveTagKeys リクエストで渡された推移的なタグキーに基づいてアクセスをフィルタリングします ArrayOfString
www.amazon.com:app_id Login with Amazon アプリケーション ID に基づいてアクセスをフィルタリングします 文字列
www.amazon.com:user_id Login with Amazon ユーザー ID に基づいてアクセスをフィルタリングします 文字列