AWS Systems Manager のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Systems Manager のアクション、リソース、および条件キー

AWS Systems Manager (サービスプレフィックス: ssm) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Systems Manager で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddTagsToResource 指定した AWS リソースの 1 つ以上のタグを追加または上書きするアクセス許可を付与します タグ付け

document

maintenancewindow

managed-instance

parameter

patchbaseline

CancelCommand 指定した Run Command コマンドをキャンセルするアクセス許可を付与します 書き込み
CancelMaintenanceWindowExecution 進行中のメンテナンスウィンドウの実行をキャンセルするアクセス許可を付与します 書き込み
CreateActivation オンプレミスサーバーと仮想マシン (VM) を Systems Manager に登録するために使用するアクティベーションを作成するアクセス許可を付与します 書き込み
CreateAssociation 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与します 書き込み

document*

instance

managed-instance

CreateAssociationBatch 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを結合するアクセス許可を付与します 書き込み

document*

instance

managed-instance

CreateDocument Systems Manager SSM ドキュメントを作成するアクセス許可を付与します 書き込み

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow メンテナンスウィンドウを作成するアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem OpsCenter で OpsItem を作成するアクセス許可を付与します 書き込み
CreateOpsMetadata AWS リソースの OpsMetadata オブジェクトを作成するアクセス許可を付与します 書き込み
CreatePatchBaseline パッチベースラインを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync リソースデータ同期設定を作成するアクセス許可を付与します。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新します 書き込み

resourcedatasync*

ssm:SyncType

DeleteActivation マネージドインスタンスの指定されたアクティベーションを削除するアクセス許可を付与します 書き込み
DeleteAssociation 指定した SSM ドキュメントを指定したインスタンスから関連付け解除するアクセス許可を付与します 書き込み

association

document

instance

managed-instance

DeleteDocument 指定した SSM ドキュメントとそのインスタンスの関連付けを削除するアクセス許可を付与します 書き込み

document*

DeleteInventory カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除するアクセス許可を付与します 書き込み
DeleteMaintenanceWindow 指定したメンテナンスウィンドウを削除するアクセス許可を付与します。 書き込み

maintenancewindow*

DeleteOpsMetadata OpsMetadata オブジェクトを削除するアクセス許可を付与します 書き込み

opsmetadata*

DeleteParameter 指定した SSM パラメータを削除するアクセス許可を付与します 書き込み

parameter*

aws:RequestTag/${TagKey}

DeleteParameters 複数の指定する SSM パラメータを削除するアクセス許可を付与します 書き込み

parameter*

aws:RequestTag/${TagKey}

DeletePatchBaseline 指定したパッチベースラインを削除するアクセス許可を付与します 書き込み

patchbaseline*

DeleteResourceDataSync 指定したリソースデータ同期を削除するアクセス許可を付与します 書き込み

resourcedatasync*

ssm:SyncType

DeregisterManagedInstance Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除するアクセス許可を付与します 書き込み

managed-instance*

DeregisterPatchBaselineForPatchGroup 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除するアクセス許可を付与します 書き込み

patchbaseline*

DeregisterTargetFromMaintenanceWindow 指定したターゲットをメンテナンスウィンドウから登録解除するアクセス許可を付与します 書き込み

maintenancewindow*

DeregisterTaskFromMaintenanceWindow 指定されたタスクをメンテナンスウィンドウから登録解除するアクセス許可を付与します 書き込み

maintenancewindow*

DescribeActivations 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示するアクセス許可を付与します(作成日時、アクティベーションを使用して登録されたインスタンスの数など) Read
DescribeAssociation 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示するアクセス許可を付与します Read

association

document

instance

managed-instance

DescribeAssociationExecutionTargets 指定した関連付け実行に関する情報を表示するアクセス許可を付与します Read
DescribeAssociationExecutions 指定した関連付けのすべての実行を表示するアクセス許可を付与します Read
DescribeAutomationExecutions すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示するアクセス許可を付与します Read
DescribeAutomationStepExecutions オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示するアクセス許可を付与します Read
DescribeAvailablePatches パッチベースラインに含める資格のあるすべてのパッチを表示するアクセス許可を付与します Read
DescribeDocument 指定した SSM ドキュメントの詳細を表示するアクセス許可を付与します Read

document*

DescribeDocumentParameters Systems Manager コンソールで SSM ドキュメントパラメータに関する情報を表示するアクセス許可を付与します(内部 Systems Manager のアクション) Read

document*

DescribeDocumentPermission 指定した SSM ドキュメントのアクセス許可を表示するアクセス許可を付与します Read

document*

DescribeEffectiveInstanceAssociations 指定したインスタンスの現在の関連付けをすべて表示するアクセス許可を付与します Read

instance

managed-instance

DescribeEffectivePatchesForPatchBaseline 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示するアクセス許可を付与します(Windows のみ)。 Read

patchbaseline*

DescribeInstanceAssociationsStatus 指定したインスタンスの関連付けのステータスを表示するアクセス許可を付与します Read

instance

managed-instance

DescribeInstanceInformation 指定したインスタンスに関する詳細を表示するアクセス許可を付与します Read
DescribeInstancePatchStates 指定したインスタンスのパッチに関するステータスの詳細を表示するアクセス許可を付与します Read
DescribeInstancePatchStatesForPatchGroup 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述するアクセス許可を付与します。 Read
DescribeInstancePatches 指定したインスタンスのパッチに関する全般的な詳細を表示するアクセス許可を付与します Read
DescribeInstanceProperties マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2 コンソールに付与します。 Read
DescribeInventoryDeletions 指定したインベントリ削除の詳細を表示するアクセス許可を付与します Read
DescribeMaintenanceWindowExecutionTaskInvocations メンテナンスウィンドウに対して指定したタスク実行の詳細を表示するアクセス許可を付与します リスト
DescribeMaintenanceWindowExecutionTasks 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示するアクセス許可を付与します リスト
DescribeMaintenanceWindowExecutions 指定したメンテナンスウィンドウの実行を表示するアクセス許可を付与します リスト

maintenancewindow*

DescribeMaintenanceWindowSchedule 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示するアクセス許可を付与します リスト
DescribeMaintenanceWindowTargets 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示するアクセス許可を付与します リスト

maintenancewindow*

DescribeMaintenanceWindowTasks 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示するアクセス許可を付与します リスト

maintenancewindow*

DescribeMaintenanceWindows すべてまたは指定したメンテナンスウィンドウに関する情報を表示するアクセス許可を付与します リスト
DescribeMaintenanceWindowsForTarget 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示するアクセス許可を付与します リスト
DescribeOpsItems 指定した OpsItems の詳細を表示するアクセス許可を付与します Read
DescribeParameters 指定した SSM パラメータの詳細を表示するアクセス許可を付与します リスト
DescribePatchBaselines 指定した条件を満たすパッチベースラインに関する情報を表示するアクセス許可を付与します リスト
DescribePatchGroupState 指定したパッチグループのパッチの集約ステータス詳細を表示するアクセス許可を付与します Read
DescribePatchGroups 指定したパッチグループのパッチベースラインに関する情報を表示するアクセス許可を付与します リスト
DescribePatchProperties 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示するアクセス許可を付与します リスト
DescribeSessions 指定した検索条件を満たす最近の Session Manager セッションのリストを表示するアクセス許可を付与します リスト
GetAutomationExecution 指定したオートメーション実行の詳細を表示するアクセス許可を付与します Read
GetCalendarState 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示するアクセス許可を付与します Read

document*

GetCommandInvocation 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示するアクセス許可を付与します Read
GetConnectionStatus 指定したマネージドインスタンスの Session Manager 接続ステータスを表示するアクセス許可を付与します Read
GetDefaultPatchBaseline 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示するアクセス許可を付与します Read

patchbaseline*

GetDeployablePatchSnapshotForInstance 指定したインスタンスの現在のパッチベースラインスナップショットを取得するアクセス許可を付与します Read
GetDocument 指定された SSM ドキュメントの内容を表示するアクセス許可を付与します Read

document*

GetInventory 指定した基準に従ってインスタンスインベントリの詳細を表示するアクセス許可を付与します Read
GetInventorySchema 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示するアクセス許可を付与します Read
GetMaintenanceWindow 指定したメンテナンスウィンドウの詳細を表示するアクセス許可を付与します Read

maintenancewindow*

GetMaintenanceWindowExecution 指定したメンテナンスウィンドウの実行に関する詳細を表示するアクセス許可を付与します Read
GetMaintenanceWindowExecutionTask 指定したメンテナンスウィンドウの実行タスクの詳細を表示するアクセス許可を付与します Read
GetMaintenanceWindowExecutionTaskInvocation 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示するアクセス許可を付与します Read
GetMaintenanceWindowTask 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示するアクセス許可を付与します Read

maintenancewindow*

GetManifest Systems Manager と SSM エージェントがインスタンスのパッケージのインストール要件を決定するために使用します(内部 Systems Manager の呼び出し)。 Read
GetOpsItem 指定した OpsItem に関する情報を表示するアクセス許可を付与します Read
GetOpsMetadata OpsMetadata オブジェクトを取得するアクセス許可を付与します Read

opsmetadata*

GetOpsSummary 指定したフィルターとアグリゲータに基づいて OpsItems に関する概要情報を表示するアクセス許可を付与します Read

resourcedatasync*

GetParameter 指定したパラメータに関する情報を表示するアクセス許可を付与します Read

parameter*

aws:RequestTag/${TagKey}

GetParameterHistory 指定したパラメータの詳細と変更を表示するアクセス許可を付与します Read

parameter*

aws:RequestTag/${TagKey}

GetParameters 指定した複数のパラメータに関する情報を表示するアクセス許可を付与します Read

parameter*

aws:RequestTag/${TagKey}

GetParametersByPath 指定した階層内のパラメータに関する情報を表示するアクセス許可を付与します Read

parameter*

GetPatchBaseline 指定したパッチベースラインに関する情報を表示するアクセス許可を付与します Read

patchbaseline*

GetPatchBaselineForPatchGroup 指定したパッチグループの現在のパッチベースラインの ID を表示するアクセス許可を付与します Read

patchbaseline*

GetServiceSetting AWS のサービスのアカウントレベルの設定を表示するアクセス許可を付与します Read

servicesetting*

LabelParameterVersion 指定したバージョンのパラメータに識別ラベルを適用するアクセス許可を付与します 書き込み

parameter*

ListAssociationVersions 指定した関連付けのバージョンを一覧表示するアクセス許可を付与します。 リスト
ListAssociations 指定した SSM ドキュメントまたはマネージドインスタンスの関連付けを一覧表示するアクセス許可を付与します リスト
ListCommandInvocations 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示するアクセス許可を付与します Read
ListCommands 指定したインスタンスに送信されたコマンドを一覧表示するアクセス許可を付与します Read
ListComplianceItems 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示するアクセス許可を付与します リスト
ListComplianceSummaries 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示するアクセス許可を付与します リスト
ListDocumentMetadataHistory 指定した SSM ドキュメントについてのメタデータ履歴を表示するアクセス許可を付与します Read

document*

ListDocumentVersions 指定したドキュメントのすべてのバージョンを一覧表示するアクセス許可を付与します リスト

document*

ListDocuments 指定した SSM ドキュメントに関する情報を表示するアクセス許可を付与します リスト
ListInstanceAssociations SSM エージェントが、新しいステートマネージャーの関連付けをチェックするために使用します(内部 Systems Manager の呼び出し) リスト

instance

managed-instance

ListInventoryEntries 指定したインスタンスの指定したインベントリタイプのリストを表示するアクセス許可を付与します リスト
ListOpsItemEvents OpsItemEvents を表示するアクセス許可を付与します Read
ListOpsMetadata OpsMetadata オブジェクトのリストを表示するアクセス許可を付与します リスト
ListResourceComplianceSummaries リソースレベルの集計カウントを一覧表示するアクセス許可を付与します。 リスト
ListResourceDataSync アカウントのリソースデータ同期設定に関する情報を一覧表示するアクセス許可を付与します リスト

ssm:SyncType

ListTagsForResource 指定したリソースのリソースタグのリストを表示するアクセス許可を付与します Read

document

maintenancewindow

managed-instance

parameter

patchbaseline

ModifyDocumentPermission カスタム SSM ドキュメントを指定した AWS アカウントと公開でまたは非公開で共有するアクセス許可を付与します 書き込み

document*

PutComplianceItems 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録するアクセス許可を付与します 書き込み

instance

managed-instance

PutConfigurePackageResult SSM エージェントが特定のエージェントリクエスト(内部 Systems Manager の呼び出し)の結果のレポートを生成するために使用します。 Read
PutInventory 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新するアクセス許可を付与します 書き込み
PutParameter SSM パラメータを作成するアクセス許可を付与します 書き込み

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDefaultPatchBaseline オペレーティングシステムタイプの既定のパッチベースラインを指定するアクセス許可を付与します 書き込み

patchbaseline*

RegisterPatchBaselineForPatchGroup 指定したパッチグループのデフォルトのパッチベースラインを指定するアクセス許可を付与します 書き込み

patchbaseline*

RegisterTargetWithMaintenanceWindow メンテナンスウィンドウでターゲットを登録するアクセス許可を付与します 書き込み

maintenancewindow*

RegisterTaskWithMaintenanceWindow 指定したメンテナンスウィンドウでタスクを登録するアクセス許可を付与します 書き込み

maintenancewindow*

RemoveTagsFromResource 指定したリソースから指定したタグキーを削除するアクセス許可を付与します タグ付け

document

maintenancewindow

managed-instance

parameter

patchbaseline

ResetServiceSetting AWS アカウントのサービス設定をデフォルト値にリセットするアクセス許可を付与します 書き込み

servicesetting*

ResumeSession マネージドインスタンスに Session Manager のセッションを再接続するアクセス許可を付与します 書き込み

session*

SendAutomationSignal 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信するアクセス許可を付与します 書き込み
SendCommand 指定した 1 つ以上のマネージドインスタンスでコマンドを実行するアクセス許可を付与します 書き込み

document*

bucket

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

StartAssociationsOnce 指定した関連付けを手動で実行するアクセス許可を付与します 書き込み

association*

StartAutomationExecution オートメーションドキュメントの実行を開始するアクセス許可を付与します 書き込み

automation-definition*

StartChangeRequestExecution 自動化ドキュメントの実行を開始するアクセス許可を付与します 書き込み

automation-definition*

StartSession セッションマネージャーセッションの指定したターゲットへの接続を開始するアクセス許可を付与します 書き込み

document

instance

task

ssm:SessionDocumentAccessCheck

ecs:cluster

StopAutomationExecution 既に進行中の指定したオートメーションの実行を停止するアクセス許可を付与します 書き込み
TerminateSession インスタンスへの Session Manager 接続を永続的に終了するアクセス権限を付与します 書き込み

session*

UpdateAssociation 指定したターゲットで関連付けを更新し、関連付けをただちに実行するアクセス許可を付与します 書き込み

association*

document

instance

managed-instance

UpdateAssociationStatus 指定したインスタンスに関連付けられている SSM ドキュメントのステータスを更新するアクセス許可を付与します 書き込み

document*

instance

managed-instance

UpdateDocument SSM ドキュメントの 1 つ以上の値を更新するアクセス許可を付与します 書き込み

document*

UpdateDocumentDefaultVersion SSM ドキュメントのデフォルトバージョンを変更するアクセス許可を付与します 書き込み

document*

UpdateDocumentMetadata SSM ドキュメントのメタデータを更新するアクセス許可を付与します 書き込み

document*

UpdateInstanceAssociationStatus SSM エージェントが現在実行中の関連付けのステータスを更新するために使用します(内部 Systems Manager の呼び出し)。 書き込み

association*

instance

managed-instance

UpdateInstanceInformation SSM エージェントがハートビート信号をクラウド内の Systems Manager サービスに送信するために使用します。 書き込み
UpdateMaintenanceWindow 指定したメンテナンスウィンドウを更新するアクセス許可を付与します 書き込み

maintenancewindow*

UpdateMaintenanceWindowTarget メンテナンスウィンドウターゲットを更新するアクセス許可を付与します 書き込み

maintenancewindow*

UpdateMaintenanceWindowTask メンテナンスウィンドウタスクを更新するアクセス許可を付与します 書き込み

maintenancewindow*

UpdateManagedInstanceRole 指定したマネージドインスタンスに割り当てられた IAM ロールを割り当てまたは変更するアクセス許可を付与します 書き込み

managed-instance*

UpdateOpsItem OpsItem を編集または変更するアクセス許可を付与します。 書き込み
UpdateOpsMetadata OpsMetadata オブジェクトを更新するアクセス許可を付与します 書き込み

opsmetadata*

UpdatePatchBaseline 指定したパッチベースラインを更新するアクセス許可を付与します 書き込み

patchbaseline*

UpdateResourceDataSync リソースデータの同期を更新するアクセス許可を付与します。 書き込み

resourcedatasync*

ssm:SyncType

UpdateServiceSetting AWS アカウントのサービス設定を更新するアクセス許可を付与します 書き込み

servicesetting*

AWS Systems Manager で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

注記

一部の State Manager API パラメータは非推奨となりました。これは予期しない動作につながる可能性があります。詳細については、「IAM を使用した関連付けの操作」をご参照ください。

リソースタイプ ARN 条件キー
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName:VersionId}
bucket arn:${Partition}:s3:::${BucketName}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${ManagedInstanceName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
opsmetadata arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${FullyQualifiedParameterName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

AWS Systems Manager の条件キー

AWS Systems Manager は、Condition ポリシーの IAM 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 指定したタグで許可されている値のセットに基づいて「作成」リクエストをフィルタリングします 文字列
aws:ResourceTag/${TagKey} AWS リソースに割り当てられたタグキーと値のペアに基づいてアクセスをフィルタリングします。 文字列
aws:TagKeys 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストをフィルタリングします。 文字列
ecs:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアによってアクセスをフィルタリングします。 文字列
ecs:cluster Amazon ECS クラスターの ARN でアクセスをフィルタリングします ARN
ssm:Overwrite 指定したリソースの値を上書きできるかどうかを制御して、アクセスをフィルタリングします 文字列
ssm:Recursive 階層構造で作成されたリソースのアクセスをフィルタリングします 文字列
ssm:SessionDocumentAccessCheck ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリングします ブール値
ssm:SyncType リクエストで指定された ResourceDataSync SyncType にユーザーがアクセスできることを確認して、アクセスをフィルタリングします。 文字列
ssm:resourceTag/tag-key Systems Manager リソースに割り当てられたタグのキーと値のペアに基づいてアクセスをフィルタリングします。 文字列