翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Shield のアクション、リソース、および条件キー
AWS Shield (サービスプレフィックス: shield
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用できる API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法について説明します。
AWS Shield で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AssociateDRTLogBucket | DDoS Response チームがフローログを含む指定された Amazon S3 バケットにアクセスすることを許可するアクセス許可を付与します | 書き込み |
s3:GetBucketPolicy s3:PutBucketPolicy |
||
AssociateDRTRole | 指定されたロールを使用して DDoS レスポンスチームに へのアクセスを許可し、潜在的な攻撃中の DDoS 攻撃の軽減 AWS アカウント を支援するアクセス許可を付与します | 書き込み |
iam:GetRole iam:ListAttachedRolePolicies iam:PassRole |
||
AssociateHealthCheck | リソースの Shield アドバンスト保護にヘルスベースの検出を追加する許可を付与。 | 書き込み |
route53:GetHealthCheck |
||
AssociateProactiveEngagementDetails | プロアクティブエンゲージメントを初期化し、使用する DDoS Response Team (DRT) の連絡先のリストを設定するアクセス許可を付与します | 書き込み | |||
CreateProtection | 特定のリソース DDoS の ARN Protection サービスをアクティブ化するアクセス許可を付与します | 書き込み | |||
CreateProtectionGroup | 保護されたリソースのグループを作成するアクセス許可を付与して、それらを集合として処理できるようにします。 | Write | |||
CreateSubscription | サブスクリプションをアクティブ化するためのアクセス許可を付与します。 | Write | |||
DeleteProtection | 既存の保護を削除する許可を付与。 | Write | |||
DeleteProtectionGroup | 指定された保護グループを削除する許可を付与。 | Write | |||
DeleteSubscription | サブスクリプションを無効にする許可を付与。 | Write | |||
DescribeAttack | 攻撃の詳細を取得する許可を付与。 | 読み取り | |||
DescribeAttackStatistics | AWS Shield が昨年検出した攻撃の数とタイプに関する情報を記述する許可を付与 | 読み取り | |||
DescribeDRTAccess | 攻撃の軽減を支援 AWS アカウント しながら にアクセスするために DDoS Response チームが使用する Amazon S3 ログバケットの現在のロールとリストを記述するアクセス許可を付与します | 読み取り | |||
DescribeEmergencyContactSettings | 攻撃が疑われるときに DRT が連絡するために使用できる E メールアドレスを一覧表示するアクセス許可を付与します | 読み取り | |||
DescribeProtection | 保護の詳細を取得する許可を付与。 | Read | |||
DescribeProtectionGroup | 指定された保護グループの仕様を説明する許可を付与。 | Read | |||
DescribeSubscription | 開始時刻など、サブスクリプションの詳細を取得するためのアクセス許可を付与します。 | 読み取り | |||
DisableApplicationLayerAutomaticResponse | リソースの Shield Advanced 保護のアプリケーションレイヤー自動応答を無効にする許可を付与 | 書き込み | |||
DisableProactiveEngagement | Word Response Team (DDoSDRT) から認可を削除して、エスカレーションについて連絡先に通知するアクセス許可を付与します | 書き込み | |||
DisassociateDRTLogBucket | Word DDoS Response チームのフローログを含む指定された Amazon S3 バケットへのアクセスを削除するアクセス許可を付与します | 書き込み |
s3:DeleteBucketPolicy s3:GetBucketPolicy s3:PutBucketPolicy |
||
DisassociateDRTRole | DDoS Response チームの へのアクセスを削除するアクセス許可を付与します AWS アカウント | 書き込み | |||
DisassociateHealthCheck | リソースの Shield アドバンスト保護からヘルスベースの検出を削除する許可を付与 | 書き込み | |||
EnableApplicationLayerAutomaticResponse | リソースの Shield Advanced 保護のアプリケーションレイヤー自動応答を有効にする許可を付与 | 書き込み |
apprunner:DescribeWebAclForService cloudfront:GetDistribution cognito-idp:GetWebACLForResource ec2:GetVerifiedAccessInstanceWebAcl iam:CreateServiceLinkedRole iam:GetRole wafv2:GetWebACL wafv2:GetWebACLForResource |
||
EnableProactiveEngagement | DDoS Response Team (DRT) が E メールと電話を使用してエスカレーションについて連絡先に通知することを承認するためのアクセス許可を付与します | 書き込み | |||
GetSubscriptionState | サブスクリプションの状態を取得するためのアクセス許可を付与します。 | Read | |||
ListAttacks | 既存のすべての攻撃を一覧表示する許可を付与。 | リスト | |||
ListProtectionGroups | アカウントの保護グループを取得する許可を付与。 | リスト | |||
ListProtections | 既存の保護をすべて一覧表示する許可を付与。 | リスト | |||
ListResourcesInProtectionGroup | 保護グループに含まれるリソースを取得するためのアクセス許可を付与します。 | リスト | |||
ListTagsForResource | Shield で指定された Amazon リソースネーム (ARN) AWS の AWS タグに関する情報を取得する許可を付与 | 読み取り | |||
TagResource | Shield AWS でリソースのタグを追加または更新するアクセス許可を付与します | タグ付け | |||
UntagResource | Shield AWS のリソースからタグを削除する許可を付与 | タグ付け | |||
UpdateApplicationLayerAutomaticResponse | リソースの Shield Advanced 保護のアプリケーションレイヤー自動応答を更新する許可を付与 | 書き込み |
apprunner:DescribeWebAclForService cognito-idp:GetWebACLForResource ec2:GetVerifiedAccessInstanceWebAcl wafv2:GetWebACL wafv2:GetWebACLForResource |
||
UpdateEmergencyContactSettings | Word が疑わしい攻撃中に連絡するためにDRT使用できる E メールアドレスのリストの詳細を更新するアクセス許可を付与します | 書き込み | |||
UpdateProtectionGroup | 既存の保護グループを更新する許可を付与。 | Write | |||
UpdateSubscription | 既存のサブスクリプションの詳細を更新する許可を付与。 | Write |
AWS Shield で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
attack |
arn:${Partition}:shield::${Account}:attack/${Id}
|
|
protection |
arn:${Partition}:shield::${Account}:protection/${Id}
|
|
protection-group |
arn:${Partition}:shield::${Account}:protection-group/${Id}
|
AWS Shield の条件キー
AWS Shield は、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | タイプ |
---|---|---|
aws:RequestTag/${TagKey} | リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします | ArrayOfString |