AWS Service Catalog のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Service Catalog のアクション、リソース、および条件キー

AWS Service Catalog (サービスプレフィックス: servicecatalog) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Service Catalog で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptPortfolioShare 既に共有しているポートフォリオを受け入れるアクセス許可を付与します 書き込み

Portfolio*

AssociateAttributeGroup 属性グループをアプリケーションに関連付けるためのアクセス権限を付与します 書き込み

Application*

AttributeGroup*

AssociateBudgetWithResource 予算をリソースに関連付けるアクセス許可を付与します。 書き込み
AssociatePrincipalWithPortfolio IAM プリンシパルをポートフォリオに関連付けるアクセス許可を付与し、指定されたポートフォリオに関連付けられたすべての製品へのアクセスを指定されたプリンシパルに付与します。 書き込み

Portfolio*

AssociateProductWithPortfolio 製品をポートフォリオに関連付けるアクセス許可を付与します。 書き込み
AssociateResource リソースをアプリケーションに関連付けるためのアクセス権限を付与します 書き込み

Application*

AssociateServiceActionWithProvisioningArtifact アクションをプロビジョニングアーティファクトに関連付けるアクセス許可を付与します。 書き込み

Product*

AssociateTagOptionWithResource 指定された TagOption を指定されたポートフォリオまたは製品に関連付けるアクセス許可を付与します。 書き込み

Portfolio

Product

BatchAssociateServiceActionWithProvisioningArtifact 複数のセルフサービスアクションをプロビジョニングアーティファクトに関連付けるアクセス許可を付与します。 書き込み
BatchDisassociateServiceActionFromProvisioningArtifact セルフサービスアクションのバッチを指定されたプロビジョニングアーティファクトから関連付けを解除するアクセス許可を付与します。 書き込み
CopyProduct 指定されたソース製品を、指定されたターゲット製品または新しい製品にコピーするアクセス許可を付与します。 書き込み
CreateApplication アプリケーションを作成するアクセス許可を付与します。 書き込み

Application*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAttributeGroup 属性グループを作成するためのアクセス権限を付与します 書き込み

AttributeGroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConstraint 関連する製品およびポートフォリオに制約を作成するアクセス許可を付与します 書き込み

Product*

CreatePortfolio ポートフォリオを作成するアクセス許可を付与します 書き込み

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePortfolioShare 所有しているポートフォリオを別の AWS アカウントと共有するアクセス許可を付与します アクセス権限の管理

Portfolio*

CreateProduct 製品とその製品の最初のプロビジョニングアーティファクトを作成するアクセス許可を付与します 書き込み

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedProductPlan プロビジョニングされた新しい製品プランを追加する許可を付与します 書き込み
CreateProvisioningArtifact 既存の製品に新しいプロビジョニングアーティファクトを追加するアクセス許可を付与します 書き込み

Product*

CreateServiceAction セルフサービスアクションを作成するアクセス許可を付与します 書き込み
CreateTagOption TagOption を作成するアクセス許可を付与します 書き込み
DeleteApplication アプリケーションからすべての関連付けが削除された場合、アプリケーションを削除するためのアクセス権限を付与します 書き込み

Application*

DeleteAttributeGroup すべての関連付けが属性グループから削除された場合、属性グループを削除するためのアクセス権限を付与します 書き込み

AttributeGroup*

DeleteConstraint 関連する製品およびポートフォリオから既存の制約を削除するアクセス許可を付与します。 書き込み
DeletePortfolio すべての関連付けや共有がポートフォリオから削除されている場合は、ポートフォリオを削除するアクセス許可を付与します。 書き込み

Portfolio*

DeletePortfolioShare 以前にポートフォリオを共有していた AWS アカウントから、所有するポートフォリオの共有を解除するアクセス許可を付与します。 アクセス権限の管理

Portfolio*

DeleteProduct すべての関連付けが製品から削除された場合は、製品を削除するアクセス許可を付与します。 書き込み

Product*

DeleteProvisionedProductPlan プロビジョニング済み製品プランを削除するアクセス許可を付与します。 書き込み
DeleteProvisioningArtifact 製品からプロビジョニングアーティファクトを削除するアクセス許可を付与します。 書き込み

Product*

DeleteServiceAction セルフサービスアクションを削除するアクセス許可を付与します。 書き込み
DeleteTagOption 指定された TagOption を削除するアクセス許可を付与します。 書き込み
DescribeConstraint 制約を記述するアクセス許可を付与します。 Read
DescribeCopyProductStatus 指定されたコピー製品オペレーションのステータスを取得するアクセス許可を付与します。 Read
DescribePortfolio ポートフォリオを記述するアクセス許可を付与します。 Read

Portfolio*

DescribePortfolioShareStatus 指定されたポートフォリオ共有オペレーションのステータスを取得するアクセス許可を付与します。 Read
DescribePortfolioShares 指定されたポートフォリオのために作成された各ポートフォリオ共有の概要を表示するためのアクセス権限を付与します リスト

Portfolio*

DescribeProduct 製品をエンドユーザーとして記述するアクセス許可を付与します。 Read

Product*

DescribeProductAsAdmin 製品を管理者として記述するアクセス許可を付与します。 Read

Product*

DescribeProductView 製品をエンドユーザーとして記述するアクセス許可を付与します。 Read
DescribeProvisionedProduct プロビジョニング済み製品を記述するアクセス許可を付与します。 Read
DescribeProvisionedProductPlan プロビジョニング済み製品プランを記述するアクセス許可を付与します。 Read
DescribeProvisioningArtifact プロビジョニングアーティファクトを記述するアクセス許可を付与します。 Read

Product*

DescribeProvisioningParameters 指定されたプロビジョニングアーティファクトを正常にプロビジョニングするために指定する必要があるパラメータを説明するアクセス許可を付与します。 Read

Product*

DescribeRecord レコードを記述するアクセス許可を付与し、出力をリストします。 Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeServiceAction セルフサービスアクションを記述するアクセス許可を付与します。 Read
DescribeServiceActionExecutionParameters 指定されたプロビジョニング済み製品に対して指定されたサービスアクションを実行した場合、デフォルトのパラメータを取得するアクセス許可を付与します。 Read
DescribeTagOption 指定された TagOption に関する情報を取得するアクセス許可を付与します。 Read
DisableAWSOrganizationsAccess AWS Organizations 機能によるポートフォリオ共有を無効にするアクセス許可を付与します。 書き込み
DisassociateAttributeGroup アプリケーションから属性グループの関連付けを解除するためのアクセス権限を付与します 書き込み

Application*

AttributeGroup*

DisassociateBudgetFromResource リソースから予算の関連付けを解除するアクセス許可を付与します。 書き込み
DisassociatePrincipalFromPortfolio ポートフォリオから IAM プリンシパルの関連付けを解除するアクセス許可を付与します。 書き込み

Portfolio*

DisassociateProductFromPortfolio ポートフォリオから製品の関連付けを解除するアクセス許可を付与します。 書き込み
DisassociateResource リソースとアプリケーションとの関連付けを解除するためのアクセス権限を付与します 書き込み

Application*

DisassociateServiceActionFromProvisioningArtifact 指定されたプロビジョニングアーティファクトから、指定されたセルフサービスアクションの関連付けを解除するアクセス許可を付与します。 書き込み

Product*

DisassociateTagOptionFromResource 指定されたリソースから指定された TagOption の関連付けを解除するアクセス許可を付与します。 書き込み

Portfolio

Product

EnableAWSOrganizationsAccess AWS Organizations を使用してポートフォリオ共有機能を有効にするアクセス許可を付与します。 書き込み
ExecuteProvisionedProductPlan プロビジョニング済み製品プランを実行するアクセス許可を付与します。 書き込み
ExecuteProvisionedProductServiceAction プロビジョニング済み製品プランを実行するアクセス許可を付与します。 書き込み
GetAWSOrganizationsAccessStatus AWS Organization のポートフォリオ共有機能のアクセスステータスを取得するアクセス許可を付与します。 Read
GetApplication アプリケーションを取得するためのアクセス権限を付与します Read

Application*

GetAttributeGroup 属性グループを取得するためのアクセス権限を付与します Read

AttributeGroup*

GetProvisionedProductOutputs プロビジョニングされた製品 ID または名前のいずれかを使用して、プロビジョニングされた製品の出力を取得するためのアクセス権限を付与します Read
ImportAsProvisionedProduct プロビジョニングされた製品にリソースをインポートするためのアクセス権限を付与します 書き込み

Product*

ListAcceptedPortfolioShares 既に共有されており、お客様が承認したポートフォリオを一覧表示するアクセス許可を付与します。 リスト
ListApplications アカウントのアプリケーションを一覧表示するアクセス許可を付与します。 リスト
ListAssociatedAttributeGroups アプリケーションに関連付けられた属性グループを一覧表示するためのアクセス権限を付与します リスト

Application*

ListAssociatedResources アプリケーションに関連付けられたリソースを一覧表示するためのアクセス権限を付与します リスト

Application*

ListAttributeGroups アカウント内の属性グループを一覧表示するためのアクセス権限を付与します リスト
ListBudgetsForResource リソースに関連付けられているすべての予算を一覧表示するアクセス許可を付与します。 リスト
ListConstraintsForPortfolio 特定のポートフォリオに関連付けられた制約を一覧表示するアクセス許可を付与します。 リスト
ListLaunchPaths 特定の製品をエンドユーザーとして起動するさまざまな方法を一覧表示するアクセス許可を付与します。 リスト

Product*

ListOrganizationPortfolioAccess 指定されたポートフォリオにアクセスできる組織のノードを一覧表示するアクセス許可を付与します。 リスト
ListPortfolioAccess 特定のポートフォリオを共有している AWS アカウントを一覧表示するアクセス許可を付与します。 リスト

Portfolio*

ListPortfolios アカウント内のポートフォリオを一覧表示するアクセス許可を付与します。 リスト
ListPortfoliosForProduct 特定の製品に関連付けられたポートフォリオを一覧表示するアクセス許可を付与します。 リスト

Product*

ListPrincipalsForPortfolio 特定のポートフォリオに関連付けられている IAM プリンシパルを一覧表示するアクセス許可を付与します。 リスト

Portfolio*

ListProvisionedProductPlans プロビジョニング済み製品プランを一覧表示するアクセス許可を付与します。 リスト
ListProvisioningArtifacts 特定の製品に関連付けられたプロビジョニングアーティファクトを一覧表示するアクセス許可を付与します。 リスト

Product*

ListProvisioningArtifactsForServiceAction 指定されたセルフサービスアクションのすべてのプロビジョニングアーティファクトを一覧表示するアクセス許可を付与します。 リスト
ListRecordHistory アカウントのすべてのレコード、またはプロビジョニングされた特定の製品に関連するすべてのレコードを一覧表示するアクセス許可を付与します。 リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListResourcesForTagOption 指定された TagOption に関連付けられたリソースを一覧表示するアクセス許可を付与します。 リスト
ListServiceActions すべてのセルフサービスアクションを一覧表示するアクセス許可を付与します。 リスト
ListServiceActionsForProvisioningArtifact アカウント内の指定されたプロビジョニングアーティファクトに関連付けられているすべてのサービスアクションを一覧表示するアクセス許可を付与します。 リスト

Product*

ListStackInstancesForProvisionedProduct CFN_STACKSET タイプのプロビジョニング済み製品に関連付けられている各スタックインスタンスのアカウント、リージョン、およびステータスを一覧表示するアクセス許可を付与します。 リスト
ListTagOptions 指定された TagOptions またはすべての TagOptions を一覧表示するアクセス許可を付与します。 リスト
ListTagsForResource サービスカタログ appregistry リソースのタグを一覧表示するためのアクセス権限を付与します リスト

Application

AttributeGroup

ProvisionProduct 指定されたプロビジョニングアーティファクトと起動パラメータを使用して製品をプロビジョニングするアクセス許可を付与します。 書き込み

Product*

RejectPortfolioShare 以前に承諾した、既に共有しているポートフォリオを拒否するアクセス許可を付与します。 書き込み

Portfolio*

ScanProvisionedProducts アカウント内のすべてのプロビジョニング済み製品を一覧表示するアクセス許可を付与します。 リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SearchProducts エンドユーザーとして利用可能な製品を一覧表示するアクセス許可を付与します。 リスト
SearchProductsAsAdmin アカウント内のすべての製品、または特定のポートフォリオに関連付けられているすべての製品を一覧表示するアクセス許可を付与します。 リスト
SearchProvisionedProducts アカウント内のすべてのプロビジョニング済み製品を一覧表示するアクセス許可を付与します。 リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SyncResource AppRegistry の現在の状態とリソースを同期するためのアクセス権限を付与します 書き込み
TagResource サービスカタログ AppRegistry リソースをタグ付けするためのアクセス権限を付与します タグ付け

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

TerminateProvisionedProduct 既存のプロビジョニング済み製品を終了するアクセス許可を付与します。 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UntagResource サービスカタログ appregistry リソースからタグを削除するためのアクセス権限を付与します タグ付け

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

UpdateApplication 既存のアプリケーションの属性を更新するためのアクセス権限を付与します 書き込み

Application*

iam:CreateServiceLinkedRole

UpdateAttributeGroup 既存の属性グループの属性を更新するためのアクセス権限を付与します 書き込み

AttributeGroup*

UpdateConstraint 既存の制約のメタデータフィールドを更新するアクセス許可を付与します。 書き込み
UpdatePortfolio 既存のポートフォリオのメタデータフィールドまたはタグを更新するアクセス許可を付与します。 書き込み

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdatePortfolioShare 既存のポートフォリオ共有のためにリソース共有を有効または無効にするためのアクセス権限を付与します アクセス権限の管理

Portfolio*

UpdateProduct 既存の製品のメタデータフィールドまたはタグを更新するアクセス許可を付与します。 書き込み

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateProvisionedProduct 既存のプロビジョニング済み製品を更新するアクセス許可を付与します。 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UpdateProvisionedProductProperties 既存のプロビジョニング済み製品のプロパティを更新するアクセス許可を付与します。 書き込み
UpdateProvisioningArtifact 既存のプロビジョニングアーティファクトのメタデータフィールドを更新するアクセス許可を付与します。 書き込み

Product*

UpdateServiceAction セルフサービスアクションを更新するアクセス許可を付与します。 書き込み
UpdateTagOption 指定された TagOption を更新するアクセス許可を付与します。 書き込み

AWS Service Catalog で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
Application arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}

aws:ResourceTag/${TagKey}

AttributeGroup arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}

aws:ResourceTag/${TagKey}

Portfolio arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}

aws:ResourceTag/${TagKey}

Product arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}

aws:ResourceTag/${TagKey}

AWS Service Catalog の条件キー

AWS Service Catalog では、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

注記

IAM ポリシーでのこれらの条件キーの使用方法を示すポリシーの例については、AWS Service Catalog Administrator Guide の「プロビジョニング済み製品を管理するためのアクセスポリシーの例」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクセスをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクセスをフィルタリングします。 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクセスをフィルタリングします 文字列
servicecatalog:accountLevel ユーザーをフィルタリングして、アカウントのユーザーが作成したリソースに対してアクションを表示して実行できるようにします。 文字列
servicecatalog:roleLevel ユーザーをフィルタリングして、自分、または自分と同じロールに連携するユーザーによって作成されたリソースに対して、アクションを表示して実行できるようにします。 文字列
servicecatalog:userLevel ユーザーをフィルタリングして、ユーザーが作成したリソースに対してのみ、アクションを表示して実行できるようにします。 文字列