翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Service Catalog のアクション、リソース、および条件キー
AWS Service Catalog (サービスプレフィックス: servicecatalog) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Service Catalog で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AcceptPortfolioShare | 既に共有しているポートフォリオを受け入れるアクセス許可を付与 | 書き込み | |||
| AssociateAttributeGroup | 属性グループをアプリケーションに関連付けるためのアクセス権限を付与 | 書き込み | |||
| AssociateBudgetWithResource | 予算をリソースに関連付けるアクセス許可を付与 | 書き込み | |||
| AssociatePrincipalWithPortfolio | IAM プリンシパルをポートフォリオに関連付けるアクセス許可を付与し、指定されたポートフォリオに関連付けられたすべての製品へのアクセスを指定されたプリンシパルに付与 | 書き込み | |||
| AssociateProductWithPortfolio | 製品をポートフォリオに関連付けるアクセス許可を付与 | 書き込み | |||
| AssociateResource | リソースをアプリケーションに関連付けるためのアクセス権限を付与 | 書き込み |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
| AssociateServiceActionWithProvisioningArtifact | アクションをプロビジョニングアーティファクトに関連付けるアクセス許可を付与 | 書き込み | |||
| AssociateTagOptionWithResource | 指定された を指定されたポートフォリオまたは製品に関連付けるアクセス許可を付与 TagOption します | 書き込み | |||
| BatchAssociateServiceActionWithProvisioningArtifact | 複数のセルフサービスアクションをプロビジョニングアーティファクトに関連付けるアクセス許可を付与 | 書き込み | |||
| BatchDisassociateServiceActionFromProvisioningArtifact | セルフサービスアクションのバッチを指定されたプロビジョニングアーティファクトから関連付けを解除する許可を付与 | 書き込み | |||
| CopyProduct | 指定されたソース製品を、指定されたターゲット製品または新しい製品にコピーする許可を付与 | 書き込み | |||
| CreateApplication | アプリケーションを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole |
||
| CreateAttributeGroup | 属性グループを作成する許可を付与 | 書き込み | |||
| CreateConstraint | 関連する製品およびポートフォリオに制約を作成する許可を付与 | 書き込み | |||
| CreatePortfolio | ポートフォリオを作成する許可を付与 | 書き込み | |||
| CreatePortfolioShare | 所有しているポートフォリオを別の と共有するためのアクセス許可を付与します AWS アカウント | 権限の管理 | |||
| CreateProduct | 製品とその製品の最初のプロビジョニングアーティファクトを作成する許可を付与 | 書き込み | |||
| CreateProvisionedProductPlan | プロビジョニングされた新しい製品プランを追加する許可を付与 | 書き込み | |||
| CreateProvisioningArtifact | 既存の製品に新しいプロビジョニングアーティファクトを追加する許可を付与 | 書き込み | |||
| CreateServiceAction | セルフサービスアクションを作成する許可を付与 | 書き込み | |||
| CreateTagOption | を作成する許可を付与 TagOption | 書き込み | |||
| DeleteApplication | アプリケーションからすべての関連付けが削除された場合、アプリケーションを削除する許可を付与 | 書き込み | |||
| DeleteAttributeGroup | すべての関連付けが属性グループから削除された場合、属性グループを削除する許可を付与 | 書き込み | |||
| DeleteConstraint | 関連する製品およびポートフォリオから既存の制約を削除する許可を付与 | 書き込み | |||
| DeletePortfolio | すべての関連付けや共有がポートフォリオから削除されている場合は、ポートフォリオを削除する許可を付与 | 書き込み | |||
| DeletePortfolioShare | 以前にポートフォリオを共有した から所有 AWS アカウント しているポートフォリオの共有を解除するアクセス許可を付与します | 権限の管理 | |||
| DeleteProduct | すべての関連付けが製品から削除された場合は、製品を削除する許可を付与 | 書き込み | |||
| DeleteProvisionedProductPlan | プロビジョニング済み製品プランを削除する許可を付与 | 書き込み | |||
| DeleteProvisioningArtifact | 製品からプロビジョニングアーティファクトを削除する許可を付与 | 書き込み | |||
| DeleteServiceAction | セルフサービスアクションを削除する許可を付与 | 書き込み | |||
| DeleteTagOption | 指定された を削除する許可を付与 TagOption | 書き込み | |||
| DescribeConstraint | 制約を記述する許可を付与 | 読み込み | |||
| DescribeCopyProductStatus | 指定されたコピー製品オペレーションのステータスを取得する許可を付与 | 読み込み | |||
| DescribePortfolio | ポートフォリオを記述する許可を付与 | 読み込み | |||
| DescribePortfolioShareStatus | 指定されたポートフォリオ共有オペレーションのステータスを取得する許可を付与 | 読み込み | |||
| DescribePortfolioShares | 指定されたポートフォリオのために作成された各ポートフォリオ共有の概要を表示する許可を付与 | リスト | |||
| DescribeProduct | 製品をエンドユーザーとして記述する許可を付与 | 読み込み | |||
| DescribeProductAsAdmin | 製品を管理者として記述する許可を付与 | 読み込み | |||
| DescribeProductView | 製品をエンドユーザーとして記述する許可を付与 | 読み込み | |||
| DescribeProvisionedProduct | プロビジョニング済み製品を記述する許可を付与 | 読み込み | |||
| DescribeProvisionedProductPlan | プロビジョニング済み製品プランを記述する許可を付与 | 読み込み | |||
| DescribeProvisioningArtifact | プロビジョニングアーティファクトを記述する許可を付与 | 読み込み | |||
| DescribeProvisioningParameters | 指定されたプロビジョニングアーティファクトを正常にプロビジョニングするために指定する必要があるパラメータを説明する許可を付与 | 読み込み | |||
| DescribeRecord | レコードを記述するアクセス許可を付与し、出力を一覧表示 | 読み込み | |||
| DescribeServiceAction | セルフサービスアクションを記述する許可を付与 | 読み込み | |||
| DescribeServiceActionExecutionParameters | 指定されたプロビジョニング済み製品に対して指定されたサービスアクションを実行した場合、デフォルトのパラメータを取得する許可を付与 | 読み取り | |||
| DescribeTagOption | 指定された に関する情報を取得する許可を付与 TagOption | 読み取り | |||
| DisableAWSOrganizationsAccess | AWS Organizations 機能を通じてポートフォリオ共有を無効にするアクセス許可を付与します | 書き込み | |||
| DisassociateAttributeGroup | アプリケーションから属性グループの関連付けを解除する許可を付与 | 書き込み | |||
| DisassociateBudgetFromResource | リソースから予算の関連付けを解除する許可を付与 | 書き込み | |||
| DisassociatePrincipalFromPortfolio | ポートフォリオから IAM プリンシパルの関連付けを解除する許可を付与 | 書き込み | |||
| DisassociateProductFromPortfolio | ポートフォリオから製品の関連付けを解除する許可を付与 | 書き込み | |||
| DisassociateResource | リソースとアプリケーションとの関連付けを解除する許可を付与 | 書き込み |
resource-groups:DeleteGroup |
||
| DisassociateServiceActionFromProvisioningArtifact | 指定されたプロビジョニングアーティファクトから、指定されたセルフサービスアクションの関連付けを解除する許可を付与 | 書き込み | |||
| DisassociateTagOptionFromResource | 指定されたリソース TagOption から指定された の関連付けを解除するアクセス許可を付与します | 書き込み | |||
| EnableAWSOrganizationsAccess | AWS Organizations を通じてポートフォリオ共有機能を有効にする許可を付与 | 書き込み | |||
| ExecuteProvisionedProductPlan | プロビジョニング済み製品プランを実行する許可を付与 | 書き込み | |||
| ExecuteProvisionedProductServiceAction | プロビジョニング済み製品プランを実行する許可を付与 | 書き込み | |||
| GetAWSOrganizationsAccessStatus | Organization AWS ポートフォリオ共有機能のアクセスステータスを取得する許可を付与 | 読み取り | |||
| GetApplication | アプリケーションを取得する許可を付与 | 読み込み | |||
| GetAssociatedResource | アプリケーションに関連付けられたリソースに関する情報を取得する許可を付与 | 読み込み | |||
| GetAttributeGroup | 属性グループを取得する許可を付与 | 読み取り | |||
| GetConfiguration | AppRegistry 設定を読み取るアクセス許可を付与します | 読み取り | |||
| GetProvisionedProductOutputs | プロビジョニングされた製品 ID または名前のいずれかを使用して、プロビジョニングされた製品の出力を取得する許可を付与 | 読み込み | |||
| ImportAsProvisionedProduct | プロビジョニングされた製品にリソースをインポートする許可を付与 | 書き込み | |||
| ListAcceptedPortfolioShares | 既に共有されており、お客様が承認したポートフォリオを一覧表示する許可を付与 | リスト | |||
| ListApplications | アプリケーションを一覧表示する許可を付与 | リスト | |||
| ListAssociatedAttributeGroups | アプリケーションに関連付けられた属性グループを一覧表示する許可を付与 | リスト | |||
| ListAssociatedResources | アプリケーションに関連付けられたリソースを一覧表示する許可を付与 | リスト | |||
| ListAttributeGroups | 属性グループを一覧表示する許可を付与 | リスト | |||
| ListAttributeGroupsForApplication | 特定アプリケーションに関連付けられた属性グループを一覧表示する許可を付与 | リスト | |||
| ListBudgetsForResource | リソースに関連付けられているすべての予算を一覧表示する許可を付与 | リスト | |||
| ListConstraintsForPortfolio | 特定のポートフォリオに関連付けられた制約を一覧表示する許可を付与 | リスト | |||
| ListLaunchPaths | 特定の製品をエンドユーザーとして起動するさまざまな方法を一覧表示する許可を付与 | リスト | |||
| ListOrganizationPortfolioAccess | 指定されたポートフォリオにアクセスできる組織のノードを一覧表示する許可を付与 | リスト | |||
| ListPortfolioAccess | 特定のポートフォリオを共有した AWS アカウントを一覧表示するアクセス許可を付与します | リスト | |||
| ListPortfolios | アカウント内のポートフォリオを一覧表示する許可を付与 | リスト | |||
| ListPortfoliosForProduct | 特定の製品に関連付けられたポートフォリオを一覧表示する許可を付与 | リスト | |||
| ListPrincipalsForPortfolio | 特定のポートフォリオに関連付けられている IAM プリンシパルを一覧表示する許可を付与 | リスト | |||
| ListProvisionedProductPlans | プロビジョニング済み製品プランを一覧表示する許可を付与 | リスト | |||
| ListProvisioningArtifacts | 特定の製品に関連付けられたプロビジョニングアーティファクトを一覧表示する許可を付与 | リスト | |||
| ListProvisioningArtifactsForServiceAction | 指定されたセルフサービスアクションのすべてのプロビジョニングアーティファクトを一覧表示する許可を付与 | リスト | |||
| ListRecordHistory | アカウントのすべてのレコード、またはプロビジョニングされた特定の製品に関連するすべてのレコードを一覧表示する許可を付与 | リスト | |||
| ListResourcesForTagOption | 指定された に関連付けられているリソースを一覧表示するアクセス許可を付与します TagOption | リスト | |||
| ListServiceActions | すべてのセルフサービスアクションを一覧表示する許可を付与 | リスト | |||
| ListServiceActionsForProvisioningArtifact | アカウント内の指定されたプロビジョニングアーティファクトに関連付けられているすべてのサービスアクションを一覧表示する許可を付与 | リスト | |||
| ListStackInstancesForProvisionedProduct | CFN_STACKSET タイプのプロビジョニング済み製品に関連付けられている各スタックインスタンスのアカウント、リージョン、およびステータスを一覧表示する許可を付与 | リスト | |||
| ListTagOptions | 指定された TagOptions またはすべての を一覧表示するアクセス許可を付与します TagOptions | リスト | |||
| ListTagsForResource | サービスカタログ appregistry リソースのタグを一覧表示する許可を付与 | 読み取り | |||
| NotifyProvisionProductEngineWorkflowResult | プロビジョニングエンジンの実行結果を通知する許可を付与 | 書き込み | |||
| NotifyTerminateProvisionedProductEngineWorkflowResult | 終了エンジンの実行結果を通知する許可を付与 | 書き込み | |||
| NotifyUpdateProvisionedProductEngineWorkflowResult | 更新エンジンの実行結果を通知する許可を付与 | 書き込み | |||
| ProvisionProduct | 指定されたプロビジョニングアーティファクトと起動パラメータを使用して製品をプロビジョニングする許可を付与 | 書き込み | |||
| PutConfiguration | AppRegistry 設定を割り当てるアクセス許可を付与します | 書き込み | |||
| RejectPortfolioShare | 以前に承諾した、既に共有しているポートフォリオを拒否する許可を付与 | 書き込み | |||
| ScanProvisionedProducts | アカウント内のすべてのプロビジョニング済み製品を一覧表示する許可を付与 | リスト | |||
| SearchProducts | エンドユーザーとして利用可能な製品を一覧表示する許可を付与 | リスト | |||
| SearchProductsAsAdmin | アカウント内のすべての製品、または特定のポートフォリオに関連付けられているすべての製品を一覧表示する許可を付与 | リスト | |||
| SearchProvisionedProducts | アカウント内のすべてのプロビジョニング済み製品を一覧表示する許可を付与 | リスト | |||
| SyncResource | リソースを の現在の状態と同期するアクセス許可を付与します AppRegistry | 書き込み |
cloudformation:UpdateStack |
||
| TagResource | サービスカタログ AppRegistry リソースをタグ付けする許可を付与 | タグ付け | |||
| TerminateProvisionedProduct | 既存のプロビジョニング済み製品を終了する許可を付与 | 書き込み | |||
| UntagResource | サービスカタログ appregistry リソースからタグを削除する許可を付与 | タグ付け | |||
| UpdateApplication | 既存のアプリケーションの属性を更新する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole |
||
| UpdateAttributeGroup | 既存の属性グループの属性を更新する許可を付与 | 書き込み | |||
| UpdateConstraint | 既存の制約のメタデータフィールドを更新する許可を付与 | 書き込み | |||
| UpdatePortfolio | 既存のポートフォリオのメタデータフィールドまたはタグを更新する許可を付与 | 書き込み | |||
| UpdatePortfolioShare | 既存のポートフォリオ共有のためにリソース共有を有効または無効にする許可を付与 | Permissions management | |||
| UpdateProduct | 既存の製品のメタデータフィールドまたはタグを更新する許可を付与。 | 書き込み | |||
| UpdateProvisionedProduct | 既存のプロビジョニング済み製品を更新する許可を付与 | 書き込み | |||
| UpdateProvisionedProductProperties | 既存のプロビジョニング済み製品のプロパティを更新する許可を付与。 | 書き込み | |||
| UpdateProvisioningArtifact | 既存のプロビジョニングアーティファクトのメタデータフィールドを更新する許可を付与 | 書き込み | |||
| UpdateServiceAction | セルフサービスアクションを更新する許可を付与 | 書き込み | |||
| UpdateTagOption | 指定された を更新する許可を付与 TagOption | 書き込み |
AWS Service Catalog で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
| AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
| Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
| Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
AWS Service Catalog の条件キー
AWS Service Catalog では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
注記
IAM ポリシーでのこれらの条件キーの使用方法を示すポリシーの例については、「Service Catalog 管理者ガイド」の「プロビジョニング済み製品を管理するためのアクセスポリシーの例」を参照してください。
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします | ArrayOfString |
| servicecatalog:Resource | AppRegistry 関連付けリソース API のリソースパラメータとして指定できる値を制御してアクセスをフィルタリングします | 文字列 |
| servicecatalog:ResourceType | AppRegistry 関連付けリソース API の ResourceType パラメータとして指定できる値を制御してアクセスをフィルタリングします | 文字列 |
| servicecatalog:accountLevel | アカウントで誰かが作成したリソースに対してアクションを表示し、実行することでアクセスをフィルタリングします。 | 文字列 |
| servicecatalog:roleLevel | 彼ら、または彼らと同じロールに連携するユーザーによって作成されたリソースに対して、アクションを表示し、実行することでアクセスをフィルタリング | 文字列 |
| servicecatalog:userLevel | ユーザーが作成したリソースに対してのみ、アクションを表示し実行することでアクセスをフィルタリング | 文字列 |
