AWS SSO のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS SSO のアクション、リソース、および条件キー

AWS SSO (サービスプレフィックス: sso) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS SSO で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateDirectory AWS Single Sign-On で使用するディレクトリを接続するアクセス許可を付与する 書き込み

ds:AuthorizeApplication

AssociateProfile ディレクトリユーザーまたはグループとプロファイルとの間に関連付けを作成するアクセス許可を付与する 書き込み
AttachManagedPolicyToPermissionSet AWS 管理ポリシーをアクセス許可セットにアタッチするアクセス許可を付与します。 アクセス権限の管理

Instance*

PermissionSet*

CreateAccountAssignment 指定したアクセス許可セットを使用して、指定した AWS アカウントのプリンシパルにアクセス権を割り当てるアクセス許可を付与します。 書き込み

Account*

Instance*

PermissionSet*

CreateApplicationInstance アプリケーションインスタンスを AWS Single Sign-On に追加するアクセス許可を付与する 書き込み
CreateApplicationInstanceCertificate アプリケーションインスタンスに新しい証明書を追加するアクセス許可を付与する 書き込み
CreateInstanceAccessControlAttributeConfiguration ABAC のインスタンスを有効にし、属性を指定するアクセス許可を付与します 書き込み

Instance*

CreateManagedApplicationInstance マネージドアプリケーションインスタンスを AWS Single Sign-On に追加するアクセス許可を付与する 書き込み
CreatePermissionSet アクセス許可セットを作成するアクセス許可を付与する 書き込み

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProfile アプリケーションインスタンスのプロファイルを作成するアクセス許可を付与する 書き込み
CreateTrust ターゲットアカウントにフェデレーションの信頼を作成するアクセス許可を付与する 書き込み
DeleteAccountAssignment 指定されたアクセス許可セットを使用して、指定された AWS アカウントからプリンシパルのアクセス許可を削除するアクセス許可を付与します。 書き込み

Account*

Instance*

PermissionSet*

DeleteApplicationInstance アプリケーションインスタンスを削除するアクセス許可を付与する 書き込み
DeleteApplicationInstanceCertificate 非アクティブまたは期限切れの証明書をアプリケーションインスタンスから削除するアクセス許可を付与する 書き込み
DeleteInlinePolicyFromPermissionSet 指定されたアクセス許可セットからインラインポリシーを削除するアクセス許可を付与します。 書き込み

Instance*

PermissionSet*

DeleteInstanceAccessControlAttributeConfiguration ABAC を無効にし、インスタンスの属性リストを削除するアクセス許可を付与します 書き込み

Instance*

DeleteManagedApplicationInstance 管理対象アプリケーションインスタンスを削除するアクセス許可を付与する 書き込み
DeletePermissionSet アクセス許可セットを削除するアクセス許可を付与する 書き込み

Instance*

PermissionSet*

DeletePermissionsPolicy アクセス許可セットに関連付けられたアクセス許可ポリシーを削除するアクセス許可を付与する アクセス権限の管理
DeleteProfile アプリケーションインスタンスのプロファイルを削除するアクセス許可を付与する 書き込み
DescribeAccountAssignmentCreationStatus 割り当て作成リクエストのステータスを説明するアクセス許可を付与します。 Read

Instance*

DescribeAccountAssignmentDeletionStatus 割り当て削除リクエストのステータスを説明するアクセス許可を付与します。 Read

Instance*

DescribeInstanceAccessControlAttributeConfiguration ABAC のインスタンスによって使用される属性のリストを取得するアクセス許可を付与します Read

Instance*

DescribePermissionSet アクセス許可セットを説明するアクセス許可を付与する Read

Instance*

PermissionSet*

DescribePermissionSetProvisioningStatus 指定されたアクセス許可セットのプロビジョニングリクエストのステータスを説明するアクセス許可を付与します。 Read

Instance*

DescribePermissionsPolicies アクセス許可セットに関連付けられているすべてのアクセス許可ポリシーを取得するアクセス許可を付与する Read
DescribeRegisteredRegions 組織が AWS Single Sign-On を有効にしているリージョンを取得するアクセス許可を付与する Read
DetachManagedPolicyFromPermissionSet 指定されたアクセス許可セットから、アタッチされた AWS 管理ポリシーをデタッチするアクセス権限を付与します。 アクセス権限の管理

Instance*

PermissionSet*

DisassociateDirectory AWS Single Sign-On で使用するディレクトリの関連付けを解除するアクセス許可を付与する 書き込み

ds:UnauthorizeApplication

DisassociateProfile プロファイルからディレクトリユーザーまたはグループの関連付けを解除するアクセス許可を付与する 書き込み
GetApplicationInstance アプリケーションインスタンスの詳細を取得するアクセス許可を付与する Read
GetApplicationTemplate アプリケーションテンプレートの詳細を取得するアクセス許可を付与する Read
GetInlinePolicyForPermissionSet アクセス許可セットに割り当てられたインラインポリシーを取得するアクセス権限を付与します。 Read

Instance*

PermissionSet*

GetManagedApplicationInstance アプリケーションインスタンスの詳細を取得するアクセス許可を付与する Read
GetMfaDeviceManagementForDirectory ディレクトリの MFA デバイス管理設定を取得するアクセス許可を付与する Read
GetPermissionSet アクセス許可セットの詳細を取得するアクセス許可を付与する Read
GetPermissionsPolicy アクセス許可セットに関連付けられているすべてのアクセス許可ポリシーを取得するアクセス許可を付与する Read

sso:DescribePermissionsPolicies

GetProfile アプリケーションインスタンスのプロファイルを取得するアクセス許可を付与する Read
GetSSOStatus AWS Single Sign-On が有効になっているかどうかを確認するアクセス許可を付与する Read
GetSharedSsoConfiguration 現在の SSO インスタンスの共有設定を取得するアクセス許可を付与する Read
GetSsoConfiguration 現在の SSO インスタンスの設定を取得するアクセス許可を付与する Read
GetTrust ターゲットアカウントでフェデレーションの信頼を取得するアクセス許可を付与する Read
ImportApplicationInstanceServiceProviderMetadata サービスプロバイダーが提供するアプリケーション SAML メタデータファイルをアップロードして、アプリケーションインスタンスを更新するアクセス許可を付与する 書き込み
ListAccountAssignmentCreationStatus 指定した SSO インスタンスの AWS アカウント割り当て作成リクエストのステータスを一覧表示するアクセス許可を付与します。 リスト

Instance*

ListAccountAssignmentDeletionStatus 指定した SSO インスタンスの AWS アカウント割り当て削除リクエストのステータスを一覧表示するアクセス許可を付与します。 リスト

Instance*

ListAccountAssignments 指定されたアクセス許可セットを持つ、指定された AWS アカウントの担当者を一覧表示するアクセス許可を付与します。 リスト

Account*

Instance*

PermissionSet*

ListAccountsForProvisionedPermissionSet 指定されたアクセス許可セットがプロビジョニングされているすべての AWS アカウントを一覧表示するアクセス許可を付与します。 リスト

Instance*

PermissionSet*

ListApplicationInstanceCertificates 指定されたアプリケーションインスタンスのすべての証明書を取得するアクセス許可を付与する Read
ListApplicationInstances すべてのアプリケーションインスタンスを取得するアクセス許可を付与する リスト

sso:GetApplicationInstance

ListApplicationTemplates サポートされているすべてのアプリケーションテンプレートを取得するアクセス許可を付与する リスト

sso:GetApplicationTemplate

ListApplications サポートされているすべてのアプリケーションを取得するアクセス許可を付与する リスト
ListDirectoryAssociations AWS Single Sign-On に接続されているディレクトリに関する詳細を取得するアクセス許可を付与する Read
ListInstances 呼び出し元がアクセスできる SSO インスタンスを一覧表示するアクセス許可を付与します。 リスト
ListManagedPoliciesInPermissionSet 指定されたアクセス許可セットにアタッチされている AWS 管理ポリシーを一覧表示するアクセス権限を付与します。 リスト

Instance*

PermissionSet*

ListPermissionSetProvisioningStatus 指定した SSO インスタンスに対するアクセス許可セットのプロビジョニングリクエストのステータスを一覧表示するアクセス許可を付与します。 リスト

Instance*

ListPermissionSets すべてのアクセス許可セットを取得するアクセス許可を付与する リスト

Instance*

ListPermissionSetsProvisionedToAccount 指定した AWS アカウントにプロビジョニングされたすべてのアクセス許可セットを一覧表示するアクセス許可を付与します。 リスト

Account*

Instance*

ListProfileAssociations プロファイルに関連付けられたディレクトリユーザーまたはグループを取得するアクセス許可を付与する Read
ListProfiles アプリケーションインスタンスのすべてのプロファイルを取得するアクセス許可を付与する リスト

sso:GetProfile

ListTagsForResource 指定されたリソースにアタッチされているタグを一覧表示するアクセス許可を付与します。 Read

Instance*

PermissionSet*

ProvisionPermissionSet 指定されたアクセス許可セットを指定されたターゲットにプロビジョニングするアクセス許可を付与します。 書き込み

Account*

Instance*

PermissionSet*

PutInlinePolicyToPermissionSet IAM インラインポリシーをアクセス許可セットにアタッチするアクセス許可を付与します。 書き込み

Instance*

PermissionSet*

PutMfaDeviceManagementForDirectory ディレクトリの MFA デバイス管理設定を配置するアクセス許可を付与する 書き込み
PutPermissionsPolicy アクセス許可セットにポリシーを追加するアクセス許可を付与する アクセス権限の管理
SearchGroups 関連付けられたディレクトリ内のグループを検索するアクセス許可を付与します。 Read

ds:DescribeDirectories

SearchUsers 関連付けられたディレクトリ内のユーザーを検索するアクセス許可を付与します。 Read

ds:DescribeDirectories

StartSSO AWS Single Sign-On を初期化するアクセス許可を付与する 書き込み

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

TagResource 一連のタグを指定されたリソースに関連付けるアクセス許可を付与します。 タグ付け

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 指定したリソースから一連のタグの関連付けを解除するアクセス許可を付与します。 タグ付け

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateApplicationInstanceActiveCertificate このアプリケーションインスタンスのアクティブな証明書として証明書を設定するアクセス許可を付与する 書き込み
UpdateApplicationInstanceDisplayData アプリケーションインスタンスの表示データを更新するアクセス許可を付与する 書き込み
UpdateApplicationInstanceResponseConfiguration アプリケーションインスタンスのフェデレーションレスポンス設定を更新するアクセス許可を付与する 書き込み
UpdateApplicationInstanceResponseSchemaConfiguration アプリケーションインスタンスのフェデレーションレスポンススキーマ設定を更新するアクセス許可を付与する 書き込み
UpdateApplicationInstanceSecurityConfiguration アプリケーションインスタンスのセキュリティ詳細を更新するアクセス許可を付与する 書き込み
UpdateApplicationInstanceServiceProviderConfiguration アプリケーションインスタンスのサービスプロバイダーに関する設定を更新するアクセス許可を付与する 書き込み
UpdateApplicationInstanceStatus アプリケーションインスタンスのステータスを更新するアクセス許可を付与する 書き込み
UpdateDirectoryAssociation 接続したディレクトリのユーザー属性マッピングを更新するアクセス許可を付与する 書き込み
UpdateInstanceAccessControlAttributeConfiguration ABAC のインスタンスで使用する属性を更新するアクセス許可を付与します 書き込み

Instance*

UpdateManagedApplicationInstanceStatus 管理対象アプリケーションインスタンスのステータスを更新するアクセス許可を付与する 書き込み
UpdatePermissionSet アクセス許可セットを更新するアクセス許可を付与します。 アクセス権限の管理

Instance*

PermissionSet*

UpdateProfile アプリケーションインスタンスのプロファイルを更新するアクセス許可を付与する 書き込み
UpdateSSOConfiguration 現在の SSO インスタンスの設定を更新するアクセス許可を付与する 書き込み
UpdateTrust ターゲットアカウントでフェデレーションの信頼を更新するアクセス許可を付与する 書き込み

AWS SSO によって定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
PermissionSet arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}

aws:ResourceTag/${TagKey}

Account arn:${Partition}:sso:::account/${AccountId}
Instance arn:${Partition}:sso:::instance/${InstanceId}

AWS SSO の条件キー

AWS SSO では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 文字列