「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
AWS Systems Manager のアクション、リソース、および条件キー
AWS Systems Manager (サービスプレフィックス: ssm) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Systems Manager で定義されるアクション
IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の
API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク
(*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション
(必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AddTagsToResource | 指定した AWS リソースの 1 つ以上のタグを追加または上書きするアクセス許可を付与します | タグ付け | |||
| CancelCommand | 指定した Run Command コマンドをキャンセルするアクセス許可を付与します | 書き込み | |||
| CancelMaintenanceWindowExecution | 進行中のメンテナンスウィンドウの実行をキャンセルするアクセス許可を付与します | 書き込み | |||
| CreateActivation | オンプレミスサーバーと仮想マシン (VM) を Systems Manager に登録するために使用するアクティベーションを作成するアクセス許可を付与します | 書き込み | |||
| CreateAssociation | 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与します | 書き込み | |||
| CreateAssociationBatch | 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを結合するアクセス許可を付与します | 書き込み | |||
| CreateDocument | Systems Manager SSM ドキュメントを作成するアクセス許可を付与します | 書き込み |
iam:PassRole |
||
| CreateMaintenanceWindow | メンテナンスウィンドウを作成するアクセス許可を付与します | 書き込み | |||
| CreateOpsItem | OpsCenter で OpsItem を作成するアクセス許可を付与します | 書き込み | |||
| CreateOpsMetadata | AWS リソースの OpsMetadata オブジェクトを作成するアクセス許可を付与します | 書き込み | |||
| CreatePatchBaseline | パッチベースラインを作成するアクセス許可を付与します。 | 書き込み | |||
| CreateResourceDataSync | リソースデータ同期設定を作成するアクセス許可を付与します。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新します | 書き込み | |||
| DeleteActivation | マネージドインスタンスの指定されたアクティベーションを削除するアクセス許可を付与します | 書き込み | |||
| DeleteAssociation | 指定した SSM ドキュメントを指定したインスタンスから関連付け解除するアクセス許可を付与します | 書き込み | |||
| DeleteDocument | 指定した SSM ドキュメントとそのインスタンスの関連付けを削除するアクセス許可を付与します | 書き込み | |||
| DeleteInventory | カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除するアクセス許可を付与します | 書き込み | |||
| DeleteMaintenanceWindow | 指定したメンテナンスウィンドウを削除するアクセス許可を付与します。 | 書き込み | |||
| DeleteOpsMetadata | OpsMetadata オブジェクトを削除するアクセス許可を付与します | 書き込み | |||
| DeleteParameter | 指定した SSM パラメータを削除するアクセス許可を付与します | 書き込み | |||
| DeleteParameters | 複数の指定する SSM パラメータを削除するアクセス許可を付与します | 書き込み | |||
| DeletePatchBaseline | 指定したパッチベースラインを削除するアクセス許可を付与します | 書き込み | |||
| DeleteResourceDataSync | 指定したリソースデータ同期を削除するアクセス許可を付与します | 書き込み | |||
| DeregisterManagedInstance | Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除するアクセス許可を付与します | 書き込み | |||
| DeregisterPatchBaselineForPatchGroup | 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除するアクセス許可を付与します | 書き込み | |||
| DeregisterTargetFromMaintenanceWindow | 指定したターゲットをメンテナンスウィンドウから登録解除するアクセス許可を付与します | 書き込み | |||
| DeregisterTaskFromMaintenanceWindow | 指定されたタスクをメンテナンスウィンドウから登録解除するアクセス許可を付与します | 書き込み | |||
| DescribeActivations | 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示するアクセス許可を付与します(作成日時、アクティベーションを使用して登録されたインスタンスの数など) | Read | |||
| DescribeAssociation | 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示するアクセス許可を付与します | Read | |||
| DescribeAssociationExecutionTargets | 指定した関連付け実行に関する情報を表示するアクセス許可を付与します | Read | |||
| DescribeAssociationExecutions | 指定した関連付けのすべての実行を表示するアクセス許可を付与します | Read | |||
| DescribeAutomationExecutions | すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示するアクセス許可を付与します | Read | |||
| DescribeAutomationStepExecutions | オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示するアクセス許可を付与します | Read | |||
| DescribeAvailablePatches | パッチベースラインに含める資格のあるすべてのパッチを表示するアクセス許可を付与します | Read | |||
| DescribeDocument | 指定した SSM ドキュメントの詳細を表示するアクセス許可を付与します | Read | |||
| DescribeDocumentParameters | Systems Manager コンソールで SSM ドキュメントパラメータに関する情報を表示するアクセス許可を付与します(内部 Systems Manager のアクション) | Read | |||
| DescribeDocumentPermission | 指定した SSM ドキュメントのアクセス許可を表示するアクセス許可を付与します | Read | |||
| DescribeEffectiveInstanceAssociations | 指定したインスタンスの現在の関連付けをすべて表示するアクセス許可を付与します | Read | |||
| DescribeEffectivePatchesForPatchBaseline | 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示するアクセス許可を付与します(Windows のみ)。 | Read | |||
| DescribeInstanceAssociationsStatus | 指定したインスタンスの関連付けのステータスを表示するアクセス許可を付与します | Read | |||
| DescribeInstanceInformation | 指定したインスタンスに関する詳細を表示するアクセス許可を付与します | Read | |||
| DescribeInstancePatchStates | 指定したインスタンスのパッチに関するステータスの詳細を表示するアクセス許可を付与します | Read | |||
| DescribeInstancePatchStatesForPatchGroup | 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述するアクセス許可を付与します。 | Read | |||
| DescribeInstancePatches | 指定したインスタンスのパッチに関する全般的な詳細を表示するアクセス許可を付与します | Read | |||
| DescribeInstanceProperties | マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2 コンソールに付与します。 | Read | |||
| DescribeInventoryDeletions | 指定したインベントリ削除の詳細を表示するアクセス許可を付与します | Read | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | メンテナンスウィンドウに対して指定したタスク実行の詳細を表示するアクセス許可を付与します | リスト | |||
| DescribeMaintenanceWindowExecutionTasks | 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示するアクセス許可を付与します | リスト | |||
| DescribeMaintenanceWindowExecutions | 指定したメンテナンスウィンドウの実行を表示するアクセス許可を付与します | リスト | |||
| DescribeMaintenanceWindowSchedule | 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示するアクセス許可を付与します | リスト | |||
| DescribeMaintenanceWindowTargets | 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示するアクセス許可を付与します | リスト | |||
| DescribeMaintenanceWindowTasks | 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示するアクセス許可を付与します | リスト | |||
| DescribeMaintenanceWindows | すべてまたは指定したメンテナンスウィンドウに関する情報を表示するアクセス許可を付与します | リスト | |||
| DescribeMaintenanceWindowsForTarget | 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示するアクセス許可を付与します | リスト | |||
| DescribeOpsItems | 指定した OpsItems の詳細を表示するアクセス許可を付与します | Read | |||
| DescribeParameters | 指定した SSM パラメータの詳細を表示するアクセス許可を付与します | リスト | |||
| DescribePatchBaselines | 指定した条件を満たすパッチベースラインに関する情報を表示するアクセス許可を付与します | リスト | |||
| DescribePatchGroupState | 指定したパッチグループのパッチの集約ステータス詳細を表示するアクセス許可を付与します | Read | |||
| DescribePatchGroups | 指定したパッチグループのパッチベースラインに関する情報を表示するアクセス許可を付与します | リスト | |||
| DescribePatchProperties | 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示するアクセス許可を付与します | リスト | |||
| DescribeSessions | 指定した検索条件を満たす最近の Session Manager セッションのリストを表示するアクセス許可を付与します | リスト | |||
| GetAutomationExecution | 指定したオートメーション実行の詳細を表示するアクセス許可を付与します | Read | |||
| GetCalendarState | 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示するアクセス許可を付与します | Read | |||
| GetCommandInvocation | 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示するアクセス許可を付与します | Read | |||
| GetConnectionStatus | 指定したマネージドインスタンスの Session Manager 接続ステータスを表示するアクセス許可を付与します | Read | |||
| GetDefaultPatchBaseline | 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示するアクセス許可を付与します | Read | |||
| GetDeployablePatchSnapshotForInstance | 指定したインスタンスの現在のパッチベースラインスナップショットを取得するアクセス許可を付与します | Read | |||
| GetDocument | 指定された SSM ドキュメントの内容を表示するアクセス許可を付与します | Read | |||
| GetInventory | 指定した基準に従ってインスタンスインベントリの詳細を表示するアクセス許可を付与します | Read | |||
| GetInventorySchema | 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示するアクセス許可を付与します | Read | |||
| GetMaintenanceWindow | 指定したメンテナンスウィンドウの詳細を表示するアクセス許可を付与します | Read | |||
| GetMaintenanceWindowExecution | 指定したメンテナンスウィンドウの実行に関する詳細を表示するアクセス許可を付与します | Read | |||
| GetMaintenanceWindowExecutionTask | 指定したメンテナンスウィンドウの実行タスクの詳細を表示するアクセス許可を付与します | Read | |||
| GetMaintenanceWindowExecutionTaskInvocation | 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示するアクセス許可を付与します | Read | |||
| GetMaintenanceWindowTask | 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示するアクセス許可を付与します | Read | |||
| GetManifest | Systems Manager と SSM エージェントがインスタンスのパッケージのインストール要件を決定するために使用します(内部 Systems Manager の呼び出し)。 | Read | |||
| GetOpsItem | 指定した OpsItem に関する情報を表示するアクセス許可を付与します | Read | |||
| GetOpsMetadata | OpsMetadata オブジェクトを取得するアクセス許可を付与します | Read | |||
| GetOpsSummary | 指定したフィルターとアグリゲータに基づいて OpsItems に関する概要情報を表示するアクセス許可を付与します | Read | |||
| GetParameter | 指定したパラメータに関する情報を表示するアクセス許可を付与します | Read | |||
| GetParameterHistory | 指定したパラメータの詳細と変更を表示するアクセス許可を付与します | Read | |||
| GetParameters | 指定した複数のパラメータに関する情報を表示するアクセス許可を付与します | Read | |||
| GetParametersByPath | 指定した階層内のパラメータに関する情報を表示するアクセス許可を付与します | Read | |||
| GetPatchBaseline | 指定したパッチベースラインに関する情報を表示するアクセス許可を付与します | Read | |||
| GetPatchBaselineForPatchGroup | 指定したパッチグループの現在のパッチベースラインの ID を表示するアクセス許可を付与します | Read | |||
| GetServiceSetting | AWS のサービスのアカウントレベルの設定を表示するアクセス許可を付与します | Read | |||
| LabelParameterVersion | 指定したバージョンのパラメータに識別ラベルを適用するアクセス許可を付与します | 書き込み | |||
| ListAssociationVersions | 指定した関連付けのバージョンを一覧表示するアクセス許可を付与します。 | リスト | |||
| ListAssociations | 指定した SSM ドキュメントまたはマネージドインスタンスの関連付けを一覧表示するアクセス許可を付与します | リスト | |||
| ListCommandInvocations | 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示するアクセス許可を付与します | Read | |||
| ListCommands | 指定したインスタンスに送信されたコマンドを一覧表示するアクセス許可を付与します | Read | |||
| ListComplianceItems | 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示するアクセス許可を付与します | リスト | |||
| ListComplianceSummaries | 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示するアクセス許可を付与します | リスト | |||
| ListDocumentMetadataHistory | 指定した SSM ドキュメントについてのメタデータ履歴を表示するアクセス許可を付与します | Read | |||
| ListDocumentVersions | 指定したドキュメントのすべてのバージョンを一覧表示するアクセス許可を付与します | リスト | |||
| ListDocuments | 指定した SSM ドキュメントに関する情報を表示するアクセス許可を付与します | リスト | |||
| ListInstanceAssociations | SSM エージェントが、新しいステートマネージャーの関連付けをチェックするために使用します(内部 Systems Manager の呼び出し) | リスト | |||
| ListInventoryEntries | 指定したインスタンスの指定したインベントリタイプのリストを表示するアクセス許可を付与します | リスト | |||
| ListOpsItemEvents | OpsItemEvents を表示するアクセス許可を付与します | Read | |||
| ListOpsMetadata | OpsMetadata オブジェクトのリストを表示するアクセス許可を付与します | リスト | |||
| ListResourceComplianceSummaries | リソースレベルの集計カウントを一覧表示するアクセス許可を付与します。 | リスト | |||
| ListResourceDataSync | アカウントのリソースデータ同期設定に関する情報を一覧表示するアクセス許可を付与します | リスト | |||
| ListTagsForResource | 指定したリソースのリソースタグのリストを表示するアクセス許可を付与します | Read | |||
| ModifyDocumentPermission | カスタム SSM ドキュメントを指定した AWS アカウントと公開でまたは非公開で共有するアクセス許可を付与します | 書き込み | |||
| PutComplianceItems | 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録するアクセス許可を付与します | 書き込み | |||
| PutConfigurePackageResult | SSM エージェントが特定のエージェントリクエスト(内部 Systems Manager の呼び出し)の結果のレポートを生成するために使用します。 | Read | |||
| PutInventory | 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新するアクセス許可を付与します | 書き込み | |||
| PutParameter | SSM パラメータを作成するアクセス許可を付与します | 書き込み | |||
| RegisterDefaultPatchBaseline | オペレーティングシステムタイプの既定のパッチベースラインを指定するアクセス許可を付与します | 書き込み | |||
| RegisterPatchBaselineForPatchGroup | 指定したパッチグループのデフォルトのパッチベースラインを指定するアクセス許可を付与します | 書き込み | |||
| RegisterTargetWithMaintenanceWindow | メンテナンスウィンドウでターゲットを登録するアクセス許可を付与します | 書き込み | |||
| RegisterTaskWithMaintenanceWindow | 指定したメンテナンスウィンドウでタスクを登録するアクセス許可を付与します | 書き込み | |||
| RemoveTagsFromResource | 指定したリソースから指定したタグキーを削除するアクセス許可を付与します | タグ付け | |||
| ResetServiceSetting | AWS アカウントのサービス設定をデフォルト値にリセットするアクセス許可を付与します | 書き込み | |||
| ResumeSession | マネージドインスタンスに Session Manager のセッションを再接続するアクセス許可を付与します | 書き込み | |||
| SendAutomationSignal | 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信するアクセス許可を付与します | 書き込み | |||
| SendCommand | 指定した 1 つ以上のマネージドインスタンスでコマンドを実行するアクセス許可を付与します | 書き込み | |||
| StartAssociationsOnce | 指定した関連付けを手動で実行するアクセス許可を付与します | 書き込み | |||
| StartAutomationExecution | オートメーションドキュメントの実行を開始するアクセス許可を付与します | 書き込み | |||
| StartChangeRequestExecution | 自動化ドキュメントの実行を開始するアクセス許可を付与します | 書き込み | |||
| StartSession | セッションマネージャーセッションの指定したターゲットへの接続を開始するアクセス許可を付与します | 書き込み | |||
| StopAutomationExecution | 既に進行中の指定したオートメーションの実行を停止するアクセス許可を付与します | 書き込み | |||
| TerminateSession | インスタンスへの Session Manager 接続を永続的に終了するアクセス権限を付与します | 書き込み | |||
| UpdateAssociation | 指定したターゲットで関連付けを更新し、関連付けをただちに実行するアクセス許可を付与します | 書き込み | |||
| UpdateAssociationStatus | 指定したインスタンスに関連付けられている SSM ドキュメントのステータスを更新するアクセス許可を付与します | 書き込み | |||
| UpdateDocument | SSM ドキュメントの 1 つ以上の値を更新するアクセス許可を付与します | 書き込み | |||
| UpdateDocumentDefaultVersion | SSM ドキュメントのデフォルトバージョンを変更するアクセス許可を付与します | 書き込み | |||
| UpdateDocumentMetadata | SSM ドキュメントのメタデータを更新するアクセス許可を付与します | 書き込み | |||
| UpdateInstanceAssociationStatus | SSM エージェントが現在実行中の関連付けのステータスを更新するために使用します(内部 Systems Manager の呼び出し)。 | 書き込み | |||
| UpdateInstanceInformation | SSM エージェントがハートビート信号をクラウド内の Systems Manager サービスに送信するために使用します。 | 書き込み | |||
| UpdateMaintenanceWindow | 指定したメンテナンスウィンドウを更新するアクセス許可を付与します | 書き込み | |||
| UpdateMaintenanceWindowTarget | メンテナンスウィンドウターゲットを更新するアクセス許可を付与します | 書き込み | |||
| UpdateMaintenanceWindowTask | メンテナンスウィンドウタスクを更新するアクセス許可を付与します | 書き込み | |||
| UpdateManagedInstanceRole | 指定したマネージドインスタンスに割り当てられた IAM ロールを割り当てまたは変更するアクセス許可を付与します | 書き込み | |||
| UpdateOpsItem | OpsItem を編集または変更するアクセス許可を付与します。 | 書き込み | |||
| UpdateOpsMetadata | OpsMetadata オブジェクトを更新するアクセス許可を付与します | 書き込み | |||
| UpdatePatchBaseline | 指定したパッチベースラインを更新するアクセス許可を付与します | 書き込み | |||
| UpdateResourceDataSync | リソースデータの同期を更新するアクセス許可を付与します。 | 書き込み | |||
| UpdateServiceSetting | AWS アカウントのサービス設定を更新するアクセス許可を付与します | 書き込み |
AWS Systems Manager で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
一部の State Manager API パラメータは非推奨となりました。これは予期しない動作につながる可能性があります。詳細については、「IAM を使用した関連付けの操作」をご参照ください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName:VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager の条件キー
AWS Systems Manager は、Condition ポリシーの IAM 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | 指定したタグで許可されている値のセットに基づいて「作成」リクエストをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | AWS リソースに割り当てられたタグキーと値のペアに基づいてアクセスをフィルタリングします。 | 文字列 |
| aws:TagKeys | 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストをフィルタリングします。 | 文字列 |
| ecs:ResourceTag/${TagKey} | リソースにアタッチされているタグキーと値のペアによってアクセスをフィルタリングします。 | 文字列 |
| ecs:cluster | Amazon ECS クラスターの ARN でアクセスをフィルタリングします | ARN |
| ssm:Overwrite | 指定したリソースの値を上書きできるかどうかを制御して、アクセスをフィルタリングします | 文字列 |
| ssm:Recursive | 階層構造で作成されたリソースのアクセスをフィルタリングします | 文字列 |
| ssm:SessionDocumentAccessCheck | ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリングします | ブール値 |
| ssm:SyncType | リクエストで指定された ResourceDataSync SyncType にユーザーがアクセスできることを確認して、アクセスをフィルタリングします。 | 文字列 |
| ssm:resourceTag/tag-key | Systems Manager リソースに割り当てられたタグのキーと値のペアに基づいてアクセスをフィルタリングします。 | 文字列 |
