AWS Systems Manager for SAP のアクション、リソース、および条件キー - サービス認可リファレンス

AWS Systems Manager for SAP のアクション、リソース、および条件キー

AWS Systems Manager for SAP (サービスプレフィックス: ssm-sap) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Systems Manager for SAP で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BackupDatabase 指定されたデータベースでバックアップオペレーションを実行する許可を付与 書き込み
DeleteResourcePermission SSM for SAP のデータベースリソースに関連する SSM for SAP レベルを削除する許可を付与 書き込み
DeregisterApplication SAP アプリケーションを SSM for SAP から登録解除する許可を付与 書き込み

application

GetApplication アプリケーション ID またはアプリケーション ARN を提供し、SSM for SAP に登録されているアプリケーションに関する情報にアクセスする許可を付与 読み取り
GetComponent アプリケーション ID およびコンポーネント ID を提供し、SSM for SAP に登録されているコンポーネントに関する情報にアクセスする許可を付与 読み取り

component

GetDatabase アプリケーション ID、コンポーネント ID およびデータベース ID を提供し、SSM for SAP に登録されているデータベースに関する情報にアクセスする許可を付与 読み取り
GetOperation オペレーション ID を提供し、オペレーションに関する情報にアクセスする許可を付与 読み取り
GetResourcePermission SSM for SAP のデータベースリソースに関連する SSM for SAP レベルを取得する許可を付与 読み取り
ListApplications お客様 AWS アカウント の SSM for SAP に登録されているすべてのアプリケーションのリストを取得する許可を付与 リスト
ListComponents 顧客のアカウント、または特定のアプリケーションのすべてのコンポーネントのリストを取得する許可を付与 リスト

application

ListDatabases 顧客のアカウント、または特定のアプリケーションのすべてのデータベースのリストを取得する許可を付与 リスト
ListOperationEvents 指定されたオペレーション内のすべてのオペレーションイベントのリストを取得する許可を付与する リスト
ListOperations 顧客のアカウント (追加フィルター適用可能) のすべてのオペレーションのリストを取得する許可を付与 リスト
ListTagsForResource 指定したリソース ARN のタグを一覧表示する許可を付与 読み取り
PutResourcePermission SSM for SAP のデータベースリソースに関連する SSM for SAP レベルのリソース アクセス許可を追加する許可を付与 書き込み
RegisterApplication SSM for SAP に SAP アプリケーションを登録する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

RestoreDatabase データベースを別のデータベースから復元する許可を付与 書き込み
StartApplication 登録済みの SSM for SAP アプリケーションを起動する許可を付与する 書き込み

application

StartApplicationRefresh SAP アプリケーション用の登録済み SSM のオンデマンド検出を開始するための許可を付与します 書き込み

application

StopApplication 登録済みの SSM for SAP アプリケーションを停止する許可を付与する 書き込み

application

TagResource 指定されたリソース ARN にタグを付ける許可を付与 タグ付け

application

component

database

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 指定されたリソース ARN からタグを削除する許可を付与 タグ付け

application

component

database

aws:TagKeys

UpdateApplicationSettings 登録した SSM for SAP アプリケーションの設定を更新する許可を付与 書き込み

application

UpdateHANABackupSettings 指定されたデータベースの HANA バックアップ設定を更新する許可を付与 書き込み

AWS Systems Manager for SAP で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
application arn:${Partition}:ssm-sap:${Region}:${Account}:${ApplicationType}/${ApplicationId}

aws:ResourceTag/${TagKey}

component arn:${Partition}:ssm-sap:${Region}:${Account}:${ApplicationType}/${ApplicationId}/COMPONENT/${ComponentId}

aws:ResourceTag/${TagKey}

database arn:${Partition}:ssm-sap:${Region}:${Account}:${ApplicationType}/${ApplicationId}/DB/${DatabaseId}

aws:ResourceTag/${TagKey}

AWS Systems Manager for SAP の条件キー

AWS Systems Manager for SAP は、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString