Identity and Access Management のアクション、リソース、および条件キー

Identity And Access Management (サービスプレフィックス: iam) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

Identity And Access Management で定義されるアクション
Identity And Access Management で定義されるリソースタイプ
Identity And Access Management の条件キー

Identity And Access Management で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー	依存アクション
AddClientIDToOpenIDConnectProvider	指定された IAM OpenID Connect(OIDC) プロバイダーリソースに登録された ID のリストに新しいクライアント ID (閲覧者) を追加する許可を付与	書き込み	oidc-provider*
AddRoleToInstanceProfile	指定されたインスタンスプロファイルに IAM ロールを追加する許可を付与	書き込み	instance-profile*		iam:PassRole
AddUserToGroup	指定された IAM グループに IAM ユーザーを追加する許可を付与	書き込み	group*
AttachGroupPolicy	指定された IAM グループに管理ポリシーをアタッチする許可を付与	Permissions management	group*
AttachGroupPolicy	指定された IAM グループに管理ポリシーをアタッチする許可を付与	Permissions management		iam:PolicyARN
AttachRolePolicy	指定された IAM ロールに管理ポリシーをアタッチする許可を付与	Permissions management	role*
AttachRolePolicy	指定された IAM ロールに管理ポリシーをアタッチする許可を付与	Permissions management		iam:PolicyARN iam:PermissionsBoundary
AttachUserPolicy	指定された IAM ユーザーに管理ポリシーをアタッチする許可を付与	Permissions management	user*
AttachUserPolicy	指定された IAM ユーザーに管理ポリシーをアタッチする許可を付与	Permissions management		iam:PolicyARN iam:PermissionsBoundary
ChangePassword	IAM ユーザーに自分のパスワードを変更する許可を付与	書き込み	user*
CreateAccessKey	指定された IAM ユーザーのアクセスキーとシークレットアクセスキーを作成する許可を付与。	書き込み	user*
CreateAccountAlias	AWS アカウントのエイリアスを作成するアクセス許可を付与	書き込み
CreateGroup	新しいグループを作成する許可を付与	書き込み	group*
CreateInstanceProfile	新しいインスタンスプロファイルを作成する許可を付与	書き込み	instance-profile*
CreateInstanceProfile	新しいインスタンスプロファイルを作成する許可を付与	書き込み		aws:TagKeys aws:RequestTag/${TagKey}
CreateLoginProfile	指定された IAM ユーザーのパスワードを作成する許可を付与	書き込み	user*
CreateOpenIDConnectProvider	OpenID Connect (OIDC) をサポートする ID プロバイダー (IdP) について説明する IAM リソースを作成する許可を付与	書き込み	oidc-provider*
CreateOpenIDConnectProvider		書き込み		aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicy	新しい管理ポリシーを作成する許可を付与	Permissions management	policy*
CreatePolicy	新しい管理ポリシーを作成する許可を付与	Permissions management		aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicyVersion	指定された管理ポリシーの新しいバージョンを作成する許可を付与	Permissions management	policy*
CreateRole	新しいロールを作成する許可を付与	書き込み	role*
CreateRole	新しいロールを作成する許可を付与	書き込み		iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateSAMLProvider	SAML 2.0 をサポートする ID プロバイダー (IdP) について説明する IAM リソースを作成する許可を付与	書き込み	saml-provider*
CreateSAMLProvider		書き込み		aws:TagKeys aws:RequestTag/${TagKey}
CreateServiceLinkedRole	AWS のサービスがユーザーに代わってアクションを実行できるようにする IAM ロールを作成するアクセス許可を付与	書き込み	role*
CreateServiceLinkedRole	AWS のサービスがユーザーに代わってアクションを実行できるようにする IAM ロールを作成するアクセス許可を付与	書き込み		iam:AWSServiceName
CreateServiceSpecificCredential	IAM ユーザーの新しいサービス固有の認証情報を作成する許可を付与	書き込み	user*
CreateUser	新しい IAM ユーザーを作成する許可を付与	書き込み	user*
CreateUser	新しい IAM ユーザーを作成する許可を付与	書き込み		iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateVirtualMFADevice	新しい仮想 MFA デバイスを作成する許可を付与	書き込み	mfa*
CreateVirtualMFADevice	新しい仮想 MFA デバイスを作成する許可を付与	書き込み		aws:TagKeys aws:RequestTag/${TagKey}
DeactivateMFADevice	指定された MFA デバイスを非アクティブ化し、最初に有効にされた IAM ユーザーとの関連付けを削除する許可を付与	書き込み	user*
DeleteAccessKey	指定された IAM ユーザーに関連付けられたアクセスキーペアを削除する許可を付与	書き込み	user*
DeleteAccountAlias	指定された AWS アカウントエイリアスを削除するアクセス許可を付与	書き込み
DeleteAccountPasswordPolicy	AWS アカウントのパスワードポリシーを削除するアクセス許可を付与	Permissions management
DeleteGroup	指定した IAM グループを削除するアクセス許可を付与	書き込み	group*
DeleteGroupPolicy	グループから指定されたインラインポリシーを削除する許可を付与	Permissions management	group*
DeleteInstanceProfile	指定されたインスタンスプロファイルを削除する許可を付与	書き込み	instance-profile*
DeleteLoginProfile	指定された IAM ユーザーのパスワードを削除する許可を付与	書き込み	user*
DeleteOpenIDConnectProvider	IAM で OpenID Connect ID プロバイダー (IdP) リソースオブジェクトを削除する許可を付与	書き込み	oidc-provider*
DeletePolicy	指定した管理ポリシーを削除し、それがアタッチされている IAM エンティティ (ユーザー、グループ、またはロール) から削除する許可を付与	Permissions management	policy*
DeletePolicyVersion	指定された管理ポリシーからバージョンを削除する許可を付与	Permissions management	policy*
DeleteRole	指定したロールを削除するアクセス許可を付与	書き込み	role*
DeleteRolePermissionsBoundary	ロールからアクセス許可境界を削除する許可を付与	Permissions management	role*
DeleteRolePermissionsBoundary	ロールからアクセス許可境界を削除する許可を付与	Permissions management		iam:PermissionsBoundary
DeleteRolePolicy	指定されたロールから指定されたインラインポリシーを削除する許可を付与	Permissions management	role*
DeleteRolePolicy	指定されたロールから指定されたインラインポリシーを削除する許可を付与	Permissions management		iam:PermissionsBoundary
DeleteSAMLProvider	IAM で SAML プロバイダーリソースを削除する許可を付与	書き込み	saml-provider*
DeleteSSHPublicKey	指定された SSH パブリックキーを削除する許可を付与	書き込み	user*
DeleteServerCertificate	指定されたサーバー証明書を削除する許可を付与	書き込み	server-certificate*
DeleteServiceLinkedRole	サービスで使用されなくなっている場合、特定の AWS サービスにリンクされている IAM ロールを削除するアクセス許可を付与	書き込み	role*
DeleteServiceSpecificCredential	IAM ユーザーの指定されたサービス固有の認証情報を削除する許可を付与	書き込み	user*
DeleteSigningCertificate	指定された IAM ユーザーに関連付けられている署名証明書を削除する許可を付与	書き込み	user*
DeleteUser	指定した IAM ユーザーを削除するアクセス許可を付与	書き込み	user*
DeleteUserPermissionsBoundary	指定された IAM ユーザーからアクセス許可境界を削除する許可を付与	Permissions management	user*
DeleteUserPermissionsBoundary	指定された IAM ユーザーからアクセス許可境界を削除する許可を付与	Permissions management		iam:PermissionsBoundary
DeleteUserPolicy	IAM ユーザーから指定されたインラインポリシーを削除する許可を付与	Permissions management	user*
DeleteUserPolicy	IAM ユーザーから指定されたインラインポリシーを削除する許可を付与	Permissions management		iam:PermissionsBoundary
DeleteVirtualMFADevice	仮想 MFA デバイスを削除する許可を付与	書き込み	mfa
DeleteVirtualMFADevice	仮想 MFA デバイスを削除する許可を付与	書き込み	sms-mfa
DetachGroupPolicy	指定された IAM グループから管理ポリシーをデタッチする許可を付与	Permissions management	group*
DetachGroupPolicy	指定された IAM グループから管理ポリシーをデタッチする許可を付与	Permissions management		iam:PolicyARN
DetachRolePolicy	指定されたロールから管理ポリシーをデタッチする許可を付与	Permissions management	role*
DetachRolePolicy	指定されたロールから管理ポリシーをデタッチする許可を付与	Permissions management		iam:PolicyARN iam:PermissionsBoundary
DetachUserPolicy	指定された IAM ユーザーから管理ポリシーをデタッチする許可を付与	Permissions management	user*
DetachUserPolicy	指定された IAM ユーザーから管理ポリシーをデタッチする許可を付与	Permissions management		iam:PolicyARN iam:PermissionsBoundary
EnableMFADevice	MFA デバイスを有効にして、指定された IAM ユーザーに関連付けるアクセス許可を付与	書き込み	user*
GenerateCredentialReport	AWS アカウントの認証情報レポートを生成するアクセス許可を付与	読み込み
GenerateOrganizationsAccessReport	AWS Organizations エンティティのアクセスレポートを生成するアクセス許可を付与	読み込み	access-report*		organizations:DescribePolicy organizations:ListChildren organizations:ListParents organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy
GenerateOrganizationsAccessReport	AWS Organizations エンティティのアクセスレポートを生成するアクセス許可を付与	読み込み		iam:OrganizationsPolicyId
GenerateServiceLastAccessedDetails	IAM リソースのサービスの最終アクセス時間データレポートを生成する許可を付与	読み込み	group*
			policy*
			role*
			user*
GetAccessKeyLastUsed	指定されたアクセスキーの最後の使用時の情報を取得する許可を付与	読み込み	user*
GetAccountAuthorizationDetails	AWS アカウント内のすべての IAM ユーザー、グループ、ロール、ポリシーの情報を、相互の関係を含めて取得するアクセス許可を付与	読み込み
GetAccountPasswordPolicy	AWS アカウントのパスワードポリシーを取得するアクセス許可を付与	読み込み
GetAccountSummary	AWS アカウント内での IAM エンティティの使用状況と IAM クォータに関する情報を取得するアクセス許可を付与	リスト
GetContextKeysForCustomPolicy	指定されたポリシーで参照されているコンテキストキーのすべてのリストを取得する許可を付与	読み込み
GetContextKeysForPrincipalPolicy	指定された IAM アイデンティティ (ユーザー、グループ、ロール) にアタッチされているすべての IAM ポリシーで参照される、すべてのコンテキストキーのリストを取得する許可を付与	読み込み	group
			role
			user
GetCredentialReport	AWS アカウントの認証情報レポートを取得するアクセス許可を付与	読み込み
GetGroup	指定された IAM グループで IAM ユーザーのリストを取得する許可を付与	読み込み	group*
GetGroupPolicy	指定の IAM グループに埋め込まれたインラインポリシードキュメントを取得する許可を付与	読み込み	group*
GetInstanceProfile	指定されたインスタンスプロファイルについて、インスタンスプロファイルのパス、GUID、ARN、ロールといった情報を取得するアクセス許可を付与	読み込み	instance-profile*
GetLoginProfile	指定された IAM ユーザーのユーザー名とパスワードの作成日を取得する許可を付与	リスト	user*
GetOpenIDConnectProvider	IAM の指定された OpenID Connect (OIDC) プロバイダーリソースに関する情報を取得する許可を付与	読み込み	oidc-provider*
GetOrganizationsAccessReport	AWS Organizations アクセスレポートを取得するアクセス許可を付与	読み込み
GetPolicy	指定された管理ポリシーについて、そのポリシーのデフォルトバージョン、そのポリシーがアタッチされているアイデンティティの総数といった情報を取得するアクセス許可を付与	読み込み	policy*
GetPolicyVersion	指定の管理ポリシーのバージョンについて、ポリシードキュメントなどの情報を取得する許可を付与	読み込み	policy*
GetRole	指定されたロールについて、そのロールのパス、GUID、ARN、そのロールの信頼ポリシーといった情報を取得するアクセス許可を付与	読み込み	role*
GetRolePolicy	指定の IAM ロールに埋め込まれたインラインポリシードキュメントを取得する許可を付与	読み込み	role*
GetSAMLProvider	IAM SAML プロバイダーリソースオブジェクトの作成時または更新時にアップロードされた SAML プロバイダーメタデータドキュメントを取得するアクセス許可を付与	読み込み	saml-provider*
GetSSHPublicKey	指定された SSH パブリックキーを、そのキーに関するメタデータを含めて取得する許可を付与	読み込み	user*
GetServerCertificate	IAM に保存されている指定のサーバー証明書に関する情報を取得する許可を付与	読み込み	server-certificate*
GetServiceLastAccessedDetails	サービスの最終アクセス時間データレポートに関する情報を取得する許可を付与	読み込み
GetServiceLastAccessedDetailsWithEntities	サービスの最終アクセス時間データレポートからのエンティティに関する情報を取得する許可を付与	読み込み
GetServiceLinkedRoleDeletionStatus	IAM サービスにリンクされたロールの削除ステータスを取得する許可を付与	読み込み	role*
GetUser	この例では、ユーザーの作成日、パス、一意の ID、ARN を含む、指定された IAM ユーザーに関する情報を取得するアクセス許可を付与	読み込み	user*
GetUserPolicy	指定の IAM ユーザーに埋め込まれたインラインポリシードキュメントを取得する許可を付与	読み込み	user*
ListAccessKeys	指定の IAM ユーザーに関連付けられたアクセスキー ID に関する情報を一覧表示する許可を付与	リスト	user*
ListAccountAliases	AWS アカウントに関連付けられているアカウントエイリアスを一覧表示するアクセス許可を付与	リスト
ListAttachedGroupPolicies	指定された IAM グループにアタッチされている管理ポリシーを一覧表示する許可を付与	リスト	group*
ListAttachedRolePolicies	指定された IAM ロールにアタッチされている管理ポリシーを一覧表示する許可を付与	リスト	role*
ListAttachedUserPolicies	指定された IAM ユーザーにアタッチされている管理ポリシーを一覧表示する許可を付与	リスト	user*
ListEntitiesForPolicy	指定した管理ポリシーがアタッチされているすべての IAM アイデンティティをリストする許可を付与	リスト	policy*
ListGroupPolicies	指定された IAM グループに埋め込まれているインラインポリシーの名前を一覧表示するアクセス許可を付与	リスト	group*
ListGroups	指定されたパスのプレフィックスを持つ IAM グループを一覧表示する許可を付与	リスト
ListGroupsForUser	指定された IAM ユーザーが属する IAM グループを一覧表示する許可を付与	リスト	user*
ListInstanceProfileTags	指定されたインスタンスプロファイルにアタッチされているタグを一覧表示する許可を付与	リスト	instance-profile*
ListInstanceProfiles	指定されたパスのプレフィックスを持つインスタンスプロファイルを一覧表示する許可を付与	リスト	instance-profile*
ListInstanceProfilesForRole	指定された IAM ロールが関連付けられているインスタンスプロファイルを一覧表示する許可を付与	リスト	role*
ListMFADeviceTags	指定された仮想 MFA デバイスにアタッチされているタグを一覧表示する許可を付与	リスト	mfa*
ListMFADevices	IAM ユーザーの MFA デバイスを一覧表示する許可を付与	リスト	user
ListOpenIDConnectProviderTags	指定された OpenID Connect プロバイダーにアタッチされているタグを一覧表示する許可を付与	リスト	oidc-provider*
ListOpenIDConnectProviders	AWS アカウントで定義されている IAM OpenID Connect (OIDC) プロバイダーリソースオブジェクトの情報を一覧表示するアクセス許可を付与	リスト
ListPolicies	すべての管理ポリシーを一覧表示する許可を付与	リスト
ListPoliciesGrantingServiceAccess	エンティティに特定のサービスへのアクセスを付与ポリシーに関する情報をリストする許可を付与	リスト	group*
			role*
			user*
ListPolicyTags	指定された管理ポリシーにアタッチされているタグを一覧表示する許可を付与	リスト	policy*
ListPolicyVersions	ポリシーのデフォルトバージョンとして設定されているバージョンを含め、指定された管理ポリシーのバージョンに関する情報を一覧表示するアクセス許可を付与	リスト	policy*
ListRolePolicies	指定された IAM ロールに埋め込まれているインラインポリシーの名前を一覧表示するアクセス許可を付与	リスト	role*
ListRoleTags	指定された IAM ロールにアタッチされているタグを一覧表示する許可を付与	リスト	role*
ListRoles	指定されたパスのプレフィックスを持つ IAM ロールを一覧表示する許可を付与	リスト
ListSAMLProviderTags	指定された SAML プロバイダーにアタッチされているタグを一覧表示する許可を付与	リスト	saml-provider*
ListSAMLProviders	IAM で SAML プロバイダーリソースを一覧表示する許可を付与	リスト
ListSSHPublicKeys	指定された IAM ユーザーに関連付けられた SSH パブリックキーに関する情報を一覧表示する許可を付与	リスト	user*
ListServerCertificateTags	指定されたサーバー証明書にアタッチされているタグを一覧表示する許可を付与	リスト	server-certificate*
ListServerCertificates	指定されたパスのプレフィックスを持つサーバー証明書を一覧表示する許可を付与	リスト
ListServiceSpecificCredentials	指定された IAM ユーザーに関連付けられたサービス固有の認証情報に関する情報を一覧表示する許可を付与	リスト	user*
ListSigningCertificates	指定の IAM ユーザーに関連付けられているデジタル署名用証明書に関する情報を一覧表示する許可を付与	リスト	user*
ListUserPolicies	指定された IAM ユーザーに埋め込まれているインラインポリシーの名前を一覧表示するアクセス許可を付与	リスト	user*
ListUserTags	指定された IAM ユーザーにアタッチされているタグを一覧表示する許可を付与	リスト	user*
ListUsers	指定されたパスのプレフィックスを持つ IAM ユーザーを一覧表示する許可を付与	リスト
ListVirtualMFADevices	割り当てステータスにより仮想 MFA デバイスを一覧表示する許可を付与	リスト
PassRole [アクセス許可のみ]	サービスにロールを渡すアクセス許可を付与	書き込み	role*
PassRole [アクセス許可のみ]	サービスにロールを渡すアクセス許可を付与	書き込み		iam:AssociatedResourceArn iam:PassedToService
PutGroupPolicy	指定の IAM グループに埋め込まれたインラインポリシードキュメントを作成または更新する許可を付与	Permissions management	group*
PutRolePermissionsBoundary	ロールのアクセス許可境界として管理ポリシーを設定する許可を付与	Permissions management	role*
PutRolePermissionsBoundary	ロールのアクセス許可境界として管理ポリシーを設定する許可を付与	Permissions management		iam:PermissionsBoundary
PutRolePolicy	指定の IAM ロールに埋め込まれたインラインポリシードキュメントを作成または更新する許可を付与	Permissions management	role*
PutRolePolicy	指定の IAM ロールに埋め込まれたインラインポリシードキュメントを作成または更新する許可を付与	Permissions management		iam:PermissionsBoundary
PutUserPermissionsBoundary	IAM ユーザーのアクセス許可境界として管理ポリシーを設定する許可を付与	Permissions management	user*
PutUserPermissionsBoundary	IAM ユーザーのアクセス許可境界として管理ポリシーを設定する許可を付与	Permissions management		iam:PermissionsBoundary
PutUserPolicy	指定の IAM ユーザーに埋め込まれたインラインポリシードキュメントを作成または更新する許可を付与	Permissions management	user*
PutUserPolicy	指定の IAM ユーザーに埋め込まれたインラインポリシードキュメントを作成または更新する許可を付与	Permissions management		iam:PermissionsBoundary
RemoveClientIDFromOpenIDConnectProvider	指定された IAM OpenID Connect(OIDC) プロバイダーリソースにあるクライアント ID のリストからクライアント ID (閲覧者) を削除する許可を付与	書き込み	oidc-provider*
RemoveRoleFromInstanceProfile	指定の EC2 インスタンスプロファイルから指定の IAM ロールを削除する許可を付与	書き込み	instance-profile*
RemoveUserFromGroup	指定されたグループから IAM ユーザーを削除する許可を付与	書き込み	group*
ResetServiceSpecificCredential	IAM ユーザー用のサービス固有の認証情報について、パスワードをリセットする許可を付与	書き込み	user*
ResyncMFADevice	指定された MFA デバイスをその IAM エンティティ (ユーザーまたはロール) に同期させるアクセス許可を付与	書き込み	user*
SetDefaultPolicyVersion	指定されたポリシーの指定されたバージョンを、ポリシーのデフォルトバージョンとして設定する許可を付与	Permissions management	policy*
SetSecurityTokenServicePreferences	STS グローバルエンドポイントのトークンバージョンを設定する許可を付与	書き込み
SimulateCustomPolicy	アイデンティティベースのポリシーまたはリソースベースのポリシーが、特定の API オペレーションおよびリソースのアクセス許可を提供するかどうかをシミュレートする許可を付与	読み込み
SimulatePrincipalPolicy	指定された IAM エンティティ (ユーザーまたはロール) にアタッチされているアイデンティティベースのポリシーが、特定の API オペレーションおよびリソースのアクセス許可を提供するかどうかをシミュレートする許可を付与	読み込み	group
			role
			user
TagInstanceProfile	インスタンスプロファイルにタグを追加する許可を付与	タグ付け	instance-profile*
TagInstanceProfile	インスタンスプロファイルにタグを追加する許可を付与	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
TagMFADevice	仮想 MFA デバイスにタグを追加する許可を付与	タグ付け	mfa*
TagMFADevice	仮想 MFA デバイスにタグを追加する許可を付与	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
TagOpenIDConnectProvider	OpenID Connect プロバイダーにタグを追加する許可を付与	タグ付け	oidc-provider*
TagOpenIDConnectProvider	OpenID Connect プロバイダーにタグを追加する許可を付与	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
TagPolicy	管理ポリシーにタグを追加する許可を付与	タグ付け	policy*
TagPolicy	管理ポリシーにタグを追加する許可を付与	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
TagRole	IAM ロールにタグを追加する許可を付与。	タグ付け	role*
TagRole	IAM ロールにタグを追加する許可を付与。	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
TagSAMLProvider	SAML プロバイダーにタグを追加する許可を付与	タグ付け	saml-provider*
TagSAMLProvider	SAML プロバイダーにタグを追加する許可を付与	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
TagServerCertificate	サーバー証明書にタグを追加する許可を付与	タグ付け	server-certificate*
TagServerCertificate	サーバー証明書にタグを追加する許可を付与	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
TagUser	IAM ユーザーにタグを追加する許可を付与。	タグ付け	user*
TagUser	IAM ユーザーにタグを追加する許可を付与。	タグ付け		aws:TagKeys aws:RequestTag/${TagKey}
UntagInstanceProfile	インスタンスプロファイルから指定したタグを削除する許可を付与	タグ付け	instance-profile*
UntagInstanceProfile	インスタンスプロファイルから指定したタグを削除する許可を付与	タグ付け		aws:TagKeys
UntagMFADevice	仮想 MFA デバイスから指定したタグを削除する許可を付与	タグ付け	mfa*
UntagMFADevice	仮想 MFA デバイスから指定したタグを削除する許可を付与	タグ付け		aws:TagKeys
UntagOpenIDConnectProvider	指定されたタグを OpenID Connect プロバイダーから削除する許可を付与	タグ付け	oidc-provider*
UntagOpenIDConnectProvider	指定されたタグを OpenID Connect プロバイダーから削除する許可を付与	タグ付け		aws:TagKeys
UntagPolicy	管理ポリシーから指定したタグを削除する許可を付与	タグ付け	policy*
UntagPolicy	管理ポリシーから指定したタグを削除する許可を付与	タグ付け		aws:TagKeys
UntagRole	ロールから指定したタグを削除する許可を付与	タグ付け	role*
UntagRole	ロールから指定したタグを削除する許可を付与	タグ付け		aws:TagKeys
UntagSAMLProvider	SAML プロバイダーから指定したタグを削除する許可を付与	タグ付け	saml-provider*
UntagSAMLProvider	SAML プロバイダーから指定したタグを削除する許可を付与	タグ付け		aws:TagKeys
UntagServerCertificate	サーバー証明書から指定したタグを削除する許可を付与	タグ付け	server-certificate*
UntagServerCertificate	サーバー証明書から指定したタグを削除する許可を付与	タグ付け		aws:TagKeys
UntagUser	ユーザーから指定したタグを削除する許可を付与	タグ付け	user*
UntagUser	ユーザーから指定したタグを削除する許可を付与	タグ付け		aws:TagKeys
UpdateAccessKey	指定されたアクセスキーステータスをアクティブまたは非アクティブとして更新するアクセス許可を付与	書き込み	user*
UpdateAccountPasswordPolicy	AWS アカウントのパスワードポリシー設定を更新するアクセス許可を付与	書き込み
UpdateAssumeRolePolicy	IAM エンティティにロールを継承する権限を与えるポリシーを更新する許可を付与	Permissions management	role*
UpdateGroup	指定された IAM グループの名前またはパスを更新する許可を付与	書き込み	group*
UpdateLoginProfile	指定された IAM ユーザーのパスワードを変更する許可を付与	書き込み	user*
UpdateOpenIDConnectProviderThumbprint	OpenID Connect(OIDC) プロバイダーリソースに関連付けられているサーバー証明書のサムプリントのリスト全体を更新する許可を付与	書き込み	oidc-provider*
UpdateRole	ロールの説明または最大セッション継続時間の設定を更新する許可を付与	書き込み	role*
UpdateRoleDescription	ロールの説明のみを更新する許可を付与	書き込み	role*
UpdateSAMLProvider	既存の SAML プロバイダーリソースのメタデータドキュメントを更新する許可を付与	書き込み	saml-provider*
UpdateSSHPublicKey	IAM ユーザーの SSH パブリックキーのステータスをアクティブまたは非アクティブに更新する許可を付与	書き込み	user*
UpdateServerCertificate	IAM に保存されている指定のサーバー証明書の名前やパスを更新する許可を付与	書き込み	server-certificate*
UpdateServiceSpecificCredential	IAM ユーザーに対し、サービス固有の認証情報のステータスをアクティブまたは非アクティブに更新するアクセス許可を付与	書き込み	user*
UpdateSigningCertificate	指定されたユーザー署名証明書のステータスを有効または無効に更新する許可を付与	書き込み	user*
UpdateUser	指定された &IAM; ユーザーの名前またはパスを更新する許可を付与	書き込み	user*
UploadSSHPublicKey	指定された IAM ユーザーに関連付けられた SSH パブリックキーを更新する許可を付与	書き込み	user*
UploadServerCertificate	AWS アカウント用のサーバー証明書エンティティをアップロードするアクセス許可を付与	書き込み	server-certificate*
UploadServerCertificate	AWS アカウント用のサーバー証明書エンティティをアップロードするアクセス許可を付与	書き込み		aws:TagKeys aws:RequestTag/${TagKey}
UploadSigningCertificate	X.509 デジタル署名用証明書をアップロードし、指定の IAM ユーザーに関連付けるアクセス許可を付与	書き込み	user*

Identity And Access Management で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
access-report	`arn:${Partition}:iam::${Account}:access-report/${EntityPath}`
assumed-role	`arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}`
federated-user	`arn:${Partition}:iam::${Account}:federated-user/${UserName}`
group	`arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}`
instance-profile	`arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}`	aws:ResourceTag/${TagKey}
mfa	`arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}`	aws:ResourceTag/${TagKey}
oidc-provider	`arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}`	aws:ResourceTag/${TagKey}
policy	`arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}`	aws:ResourceTag/${TagKey}
role	`arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}
saml-provider	`arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}`	aws:ResourceTag/${TagKey}
server-certificate	`arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}`	aws:ResourceTag/${TagKey}
sms-mfa	`arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}`
user	`arn:${Partition}:iam::${Account}:user/${UserNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}

Identity And Access Management の条件キー

Identity And Access Management は、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエストで渡されたタグに基づいてアクションをフィルタリングする	文字列
aws:ResourceTag/${TagKey}	リソースに関連付けられているタグに基づいてアクションをフィルタリングする	文字列
aws:TagKeys	リクエストで渡されたタグキーに基づいてアクションをフィルタリングする	ArrayOfString
iam:AWSServiceName	このロールがアタッチされている AWS のサービスでアクセスをフィルタリングします	文字列
iam:AssociatedResourceArn	ロールが代わりに使用するリソースに基づいてフィルタ処理する	ARN
iam:OrganizationsPolicyId	AWS Organizations ポリシーの ID でアクセスをフィルタリングします	文字列
iam:PassedToService	このロールが渡される AWS のサービスでアクセスをフィルタリングします	文字列
iam:PermissionsBoundary	指定されたポリシーが、IAM エンティティ (ユーザーまたはロール) でアクセス許可の境界として設定されているかどうかによりアクセスをフィルタリングします。	文字列
iam:PolicyARN	IAM ポリシーの ARN によるアクセスをフィルタリングします。	ARN
iam:ResourceTag/${TagKey}	IAM エンティティ (ユーザーまたはロール) にアタッチされたタグによるアクセスをフィルタリングする	文字列

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS IAM Identity Center (AWS Single Sign-On の後継サービス) ディレクトリ

AWS Identity and Access Management Roles Anywhere