AWS SSO Directory のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS SSO Directory のアクション、リソース、および条件キー

AWS SSO Directory (サービスプレフィックス: sso-directory) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS SSO Directory で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddMemberToGroup AWS SSO がデフォルトで提供するディレクトリ内のグループにメンバーを追加するアクセス許可を付与します。 書き込み
CompleteVirtualMfaDeviceRegistration 仮想 MFA デバイスの作成プロセスを完了するアクセス許可を付与します。 書き込み
CompleteWebAuthnDeviceRegistration WebAuthn デバイスの登録プロセスを完了するアクセス許可を付与します 書き込み
CreateAlias AWS SSO がデフォルトで提供するディレクトリのエイリアスを作成するアクセス許可を付与します。 書き込み
CreateBearerToken 特定のプロビジョニングテナントのベアラートークンを作成するアクセス許可を付与します。 書き込み
CreateExternalIdPConfigurationForDirectory ディレクトリ用の外部 ID プロバイダ設定を作成するアクセス許可を付与します。 書き込み
CreateGroup AWS SSO がデフォルトで提供するディレクトリにグループを作成するアクセス許可を付与します。 書き込み
CreateProvisioningTenant 指定したディレクトリのプロビジョニングテナントを作成するアクセス許可を付与します。 書き込み
CreateUser AWS SSO がデフォルトで提供するディレクトリにユーザーを作成するアクセス許可を付与します。 書き込み
DeleteBearerToken ベアラートークンを削除するアクセス許可を付与します。 書き込み
DeleteExternalIdPCertificate 指定された外部 IdP 証明書を削除するアクセス許可を付与します。 書き込み
DeleteExternalIdPConfigurationForDirectory ディレクトリに関連付けられた外部 ID プロバイダ設定を削除するアクセス許可を付与します。 書き込み
DeleteGroup AWS SSO がデフォルトで提供するディレクトリからグループを削除するアクセス許可を付与します。 書き込み
DeleteMfaDeviceForUser 特定のユーザーのデバイス名によって MFA デバイスを削除するアクセス許可を付与します。 書き込み
DeleteProvisioningTenant プロビジョニングテナントを削除するアクセス許可を付与します。 書き込み
DeleteUser AWS SSO がデフォルトで提供するディレクトリからユーザーを削除するアクセス許可を付与します。 書き込み
DescribeDirectory AWS SSO がデフォルトで提供するディレクトリに関する情報を取得するアクセス許可を付与します。 Read
DescribeGroup ユーザーおよびグループメンバーを含まない、グループデータをクエリするアクセス許可を付与する Read
DescribeGroups AWS SSO がデフォルトで提供するディレクトリからグループに関する情報を取得するアクセス許可を付与する Read
DescribeProvisioningTenant プロビジョニングテナントを説明するアクセス許可を付与する Read
DescribeUser AWS SSO がデフォルトで提供するディレクトリからユーザーに関する情報を取得するアクセス許可を付与します。 Read
DescribeUserByUniqueAttribute ユーザーに対して表される有効な一意の属性を使用してユーザーを説明するアクセス許可を付与する Read
DescribeUsers AWS SSO がデフォルトで提供するディレクトリからユーザーに関する情報を取得するアクセス許可を付与します。 Read
DisableExternalIdPConfigurationForDirectory 外部 ID プロバイダを使用したエンドユーザーの認証を無効にするアクセス許可を付与します。 書き込み
DisableUser AWS SSO がデフォルトで提供するディレクトリ内のユーザーを非アクティブ化するアクセス許可を付与します。 書き込み
EnableExternalIdPConfigurationForDirectory 外部 ID プロバイダを使用したエンドユーザーの認証を有効にするアクセス許可を付与します。 書き込み
EnableUser AWS SSO がデフォルトで提供するディレクトリ内のユーザーをアクティブ化するアクセス許可を付与します。 書き込み
GetAWSSPConfigurationForDirectory ディレクトリの AWS SSO サービスプロバイダ設定を取得するアクセス許可を付与します。 Read
GetUserPoolInfo ユーザープール情報を取得するアクセス許可を付与する Read
ImportExternalIdPCertificate 外部 IdP レスポンスの検証に使用される IdP 証明書をインポートするアクセス許可を付与します。 書き込み
IsMemberInGroup メンバーが、AWS SSO がデフォルトで提供するディレクトリ内のグループの一部であるかどうかを確認するアクセス許可を付与します。 Read
ListBearerTokens 特定のプロビジョニングテナントのベアラートークンを一覧表示するアクセス許可を付与します。 Read
ListExternalIdPCertificates 指定されたディレクトリと IdP の外部 IdP 証明書を一覧表示するアクセス許可を付与します。 Read
ListExternalIdPConfigurationsForDirectory ディレクトリ用に作成されたすべての外部 ID プロバイダ設定を一覧表示するアクセス許可を付与します。 Read
ListGroupsForMember ターゲットメンバーのグループを一覧表示するアクセス許可を付与する Read
ListGroupsForUser AWS SSO がデフォルトで提供するディレクトリからユーザーのグループを一覧表示するアクセス許可を付与します。 Read
ListMembersInGroup AWS SSO がデフォルトで提供するディレクトリ内のグループの一部であるすべてのメンバーを取得するアクセス許可を付与します。 Read
ListMfaDevicesForUser すべてのアクティブな MFA デバイスとそのユーザーの MFA デバイスメタデータを一覧表示するアクセス許可を付与します。 Read
ListProvisioningTenants 指定したディレクトリのプロビジョニングテナントを一覧表示するアクセス許可を付与します。 Read
RemoveMemberFromGroup AWS SSO がデフォルトで提供するディレクトリ内のグループの一部であるメンバーを削除するアクセス許可を付与します。 書き込み
SearchGroups 関連付けられたディレクトリ内のグループを検索するアクセス許可を付与します。 Read
SearchUsers 関連付けられたディレクトリ内のユーザーを検索するアクセス許可を付与します。 Read
StartVirtualMfaDeviceRegistration 仮想 MFA デバイスの作成プロセスを開始するアクセス許可を付与します。 書き込み
StartWebAuthnDeviceRegistration WebAuthn デバイスの登録プロセスを開始する許可を付与します 書き込み
UpdateExternalIdPConfigurationForDirectory ディレクトリに関連付けられた外部 ID プロバイダ設定を更新するアクセス許可を付与します。 書き込み
UpdateGroup AWS SSO がデフォルトで提供するディレクトリ内のグループに関する情報を更新するアクセス許可を付与します。 書き込み
UpdateGroupDisplayName グループ表示名を更新し、グループ表示名レスポンスを更新するアクセス許可を付与する 書き込み
UpdateMfaDeviceForUser MFA デバイス情報を更新するアクセス許可を付与します 書き込み
UpdatePassword E メールでパスワードリセットリンクを送信、または AWS SSO がデフォルトで提供するディレクトリでユーザーにワンタイムパスワードを生成することによりパスワードを更新するアクセス許可を付与します。 書き込み
UpdateUser AWS SSO がデフォルトで提供するディレクトリ内のユーザー情報を更新するアクセス許可を付与します。 書き込み
UpdateUserName ユーザー名を更新し、ユーザー名のレスポンスを更新するアクセス許可を付与する 書き込み
VerifyEmail ユーザーの E メールアドレスを検証するアクセス許可を付与します。 書き込み

AWS SSO Directory で定義されるリソースタイプ

AWS SSO Directory では、IAM ポリシーステートメントの Resource 要素でのリソース ARN の指定はサポートされていません。AWS SSO Directory へのアクセスを許可するには、ポリシーで “Resource”: “*” を指定します。

AWS SSO Directory の条件キー

SSO Directory には、ポリシーステートメントの Condition 要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。