Identity and Access Management のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Identity and Access Management のアクション、リソース、および条件キー

Identity And Access Management (サービスプレフィックス: iam) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Identity And Access Management で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddClientIDToOpenIDConnectProvider 指定された IAM OpenID Connect(OIDC) プロバイダーリソースに登録された ID のリストに新しいクライアント ID (閲覧者) を追加するアクセス許可を付与します 書き込み

oidc-provider*

AddRoleToInstanceProfile 指定されたインスタンスプロファイルに IAM ロールを追加するアクセス許可を付与します 書き込み

instance-profile*

iam:PassRole

AddUserToGroup 指定された IAM グループに IAM ユーザーを追加するアクセス許可を付与します 書き込み

group*

AttachGroupPolicy 指定された IAM グループに管理ポリシーをアタッチするアクセス許可を付与します アクセス権限の管理

group*

iam:PolicyARN

AttachRolePolicy 指定された IAM ロールに管理ポリシーをアタッチするアクセス許可を付与します アクセス権限の管理

role*

iam:PolicyARN

iam:PermissionsBoundary

AttachUserPolicy 指定された IAM ユーザーに管理ポリシーをアタッチするアクセス許可を付与します アクセス権限の管理

user*

iam:PolicyARN

iam:PermissionsBoundary

ChangePassword IAM ユーザーに自分のパスワードを変更するアクセス許可を付与します 書き込み

user*

CreateAccessKey 指定された IAM ユーザーのアクセスキーとシークレットアクセスキーを作成するアクセス許可を付与します。 書き込み

user*

CreateAccountAlias AWS アカウントのエイリアスを作成する権限を付与します 書き込み
CreateGroup 新しいグループを作成するアクセス許可を付与します 書き込み

group*

CreateInstanceProfile 新しいインスタンスプロファイルを作成するアクセス許可を付与します 書き込み

instance-profile*

CreateLoginProfile 指定された IAM ユーザーのパスワードを作成するアクセス許可を付与します 書き込み

user*

CreateOpenIDConnectProvider OpenID Connect (OIDC) をサポートする ID プロバイダー (IdP) について説明する IAM リソースを作成するアクセス許可を付与します 書き込み

oidc-provider*

CreatePolicy 新しい管理ポリシーを作成するアクセス許可を付与します アクセス権限の管理

policy*

CreatePolicyVersion 指定された管理ポリシーの新しいバージョンを作成するアクセス許可を付与します アクセス権限の管理

policy*

CreateRole 新しいロールを作成するアクセス許可を付与します 書き込み

role*

iam:PermissionsBoundary

CreateSAMLProvider SAML 2.0 をサポートする ID プロバイダー (IdP) について説明する IAM リソースを作成するアクセス許可を付与します 書き込み

saml-provider*

CreateServiceLinkedRole AWS のサービスがユーザーに代わってアクションを実行できるようにする IAM ロールを作成するアクセス許可を付与します 書き込み

role*

iam:AWSServiceName

CreateServiceSpecificCredential IAM ユーザーの新しいサービス固有の認証情報を作成するアクセス許可を付与します 書き込み

user*

CreateUser 新しい IAM ユーザーを作成するアクセス許可を付与します 書き込み

user*

iam:PermissionsBoundary

CreateVirtualMFADevice 新しい仮想 MFA デバイスを作成するアクセス許可を付与します 書き込み

mfa*

DeactivateMFADevice 指定された MFA デバイスを非アクティブ化し、最初に有効にされた IAM ユーザーとの関連付けを削除するアクセス許可を付与します 書き込み

user*

DeleteAccessKey 指定された IAM ユーザーに関連付けられたアクセスキーペアを削除するアクセス許可を付与します 書き込み

user*

DeleteAccountAlias 指定された AWS アカウントエイリアスを削除する権限を付与します 書き込み
DeleteAccountPasswordPolicy AWS アカウントのパスワードポリシーを削除するアクセス許可を付与します アクセス権限の管理
DeleteGroup 指定した IAM グループを削除する権限を付与します 書き込み

group*

DeleteGroupPolicy グループから指定されたインラインポリシーを削除するアクセス許可を付与します アクセス権限の管理

group*

DeleteInstanceProfile 指定されたインスタンスプロファイルを削除するアクセス許可を付与します 書き込み

instance-profile*

DeleteLoginProfile 指定された IAM ユーザーのパスワードを削除するアクセス許可を付与します 書き込み

user*

DeleteOpenIDConnectProvider IAM で OpenID Connect ID プロバイダー (IdP) リソースオブジェクトを削除するアクセス許可を付与します 書き込み

oidc-provider*

DeletePolicy 指定した管理ポリシーを削除し、それがアタッチされている IAM エンティティ (ユーザー、グループ、またはロール) から削除するアクセス許可を付与します アクセス権限の管理

policy*

DeletePolicyVersion 指定された管理ポリシーからバージョンを削除するアクセス許可を付与します アクセス権限の管理

policy*

DeleteRole 指定したロールを削除する権限を付与します 書き込み

role*

DeleteRolePermissionsBoundary ロールからアクセス許可境界を削除するアクセス許可を付与します アクセス権限の管理

role*

iam:PermissionsBoundary

DeleteRolePolicy 指定されたロールから指定されたインラインポリシーを削除するアクセス許可を付与します アクセス権限の管理

role*

iam:PermissionsBoundary

DeleteSAMLProvider IAM で SAML プロバイダーリソースを削除するアクセス許可を付与します 書き込み

saml-provider*

DeleteSSHPublicKey 指定された SSH パブリックキーを削除するアクセス許可を付与します 書き込み

user*

DeleteServerCertificate 指定されたサーバー証明書を削除するアクセス許可を付与します 書き込み

server-certificate*

DeleteServiceLinkedRole サービスで使用されなくなっている場合、特定の AWS サービスにリンクされている IAM ロールを削除するアクセス許可を付与します 書き込み

role*

DeleteServiceSpecificCredential IAM ユーザーの指定されたサービス固有の認証情報を削除するアクセス許可を付与します 書き込み

user*

DeleteSigningCertificate 指定された IAM ユーザーに関連付けられている署名証明書を削除するアクセス許可を付与します 書き込み

user*

DeleteUser 指定した IAM ユーザーを削除する権限を付与します 書き込み

user*

DeleteUserPermissionsBoundary 指定された IAM ユーザーからアクセス許可境界を削除するアクセス許可を付与します アクセス権限の管理

user*

iam:PermissionsBoundary

DeleteUserPolicy IAM ユーザーから指定されたインラインポリシーを削除するアクセス許可を付与します アクセス権限の管理

user*

iam:PermissionsBoundary

DeleteVirtualMFADevice 仮想 MFA デバイスを削除するアクセス許可を付与します 書き込み

mfa

sms-mfa

DetachGroupPolicy 指定された IAM グループから管理ポリシーをデタッチするアクセス許可を付与します アクセス権限の管理

group*

iam:PolicyARN

DetachRolePolicy 指定されたロールから管理ポリシーをデタッチするアクセス許可を付与します アクセス権限の管理

role*

iam:PolicyARN

iam:PermissionsBoundary

DetachUserPolicy 指定された IAM ユーザーから管理ポリシーをデタッチするアクセス許可を付与します アクセス権限の管理

user*

iam:PolicyARN

iam:PermissionsBoundary

EnableMFADevice MFA デバイスを有効にして、指定された IAM ユーザーに関連付けるアクセス許可を付与します 書き込み

user*

GenerateCredentialReport AWS アカウントの認証情報レポートを生成するアクセス許可を付与します Read
GenerateOrganizationsAccessReport AWS Organizations エンティティのアクセスレポートを生成するアクセス許可を付与します Read

access-report*

organizations:DescribePolicy

organizations:ListChildren

organizations:ListParents

organizations:ListPoliciesForTarget

organizations:ListRoots

organizations:ListTargetsForPolicy

iam:OrganizationsPolicyId

GenerateServiceLastAccessedDetails IAM リソースのサービスの最終アクセス時間データレポートを生成するアクセス許可を付与します Read
GetAccessKeyLastUsed 指定されたアクセスキーの最後の使用時の情報を取得するアクセス許可を付与します Read

user*

GetAccountAuthorizationDetails AWS アカウント内のすべての IAM ユーザー、グループ、ロール、ポリシーについて、相互の関係などの情報を取得する権限を付与します Read
GetAccountPasswordPolicy AWS アカウントのパスワードポリシーを取得するアクセス許可を付与します Read
GetAccountSummary AWS アカウント内での IAM エンティティの使用状況と IAM クォータに関する情報を取得するアクセス許可を付与します リスト
GetContextKeysForCustomPolicy 指定されたポリシーで参照されているコンテキストキーのすべてのリストを取得するアクセス許可を付与します Read
GetContextKeysForPrincipalPolicy 指定された IAM アイデンティティ (ユーザー、グループ、ロール) にアタッチされているすべての IAM ポリシーで参照される、すべてのコンテキストキーのリストを取得するアクセス許可を付与します Read

group

role

user

GetCredentialReport AWS アカウントの認証情報レポートを取得するアクセス許可を付与します Read
GetGroup 指定された IAM グループで IAM ユーザーのリストを取得するアクセス許可を付与します Read

group*

GetGroupPolicy 指定の IAM グループに埋め込まれたインラインポリシードキュメントを取得するアクセス許可を付与します Read

group*

GetInstanceProfile 指定されたインスタンスプロファイルについて、インスタンスプロファイルのパス、GUID、ARN、ロールといった情報を取得する権限を付与します Read

instance-profile*

GetLoginProfile 指定された IAM ユーザーのユーザー名とパスワードの作成日を取得するアクセス許可を付与します リスト

user*

GetOpenIDConnectProvider IAM の指定された OpenID Connect (OIDC) プロバイダーリソースに関する情報を取得するアクセス許可を付与します Read

oidc-provider*

GetOrganizationsAccessReport AWS Organizations アクセスレポートを取得するアクセス許可を付与します Read
GetPolicy 指定された管理ポリシーについて、そのポリシーのデフォルトバージョン、そのポリシーがアタッチされているアイデンティティの総数といった情報を取得する権限を付与します Read

policy*

GetPolicyVersion 指定の管理ポリシーのバージョンについて、ポリシードキュメントなどの情報を取得するアクセス許可を付与します Read

policy*

GetRole 指定されたロールについて、そのロールのパス、GUID、ARN、そのロールの信頼ポリシーといった情報を取得する権限を付与します Read

role*

GetRolePolicy 指定の IAM ロールに埋め込まれたインラインポリシードキュメントを取得するアクセス許可を付与します Read

role*

GetSAMLProvider IAM SAML プロバイダーリソースオブジェクトの作成時または更新時にアップロードされた SAML プロバイダーメタデータドキュメントを取得する権限を付与します Read

saml-provider*

GetSSHPublicKey 指定された SSH パブリックキーを、そのキーに関するメタデータを含めて取得するアクセス許可を付与します Read

user*

GetServerCertificate IAM に保存されている指定のサーバー証明書に関する情報を取得するアクセス許可を付与します Read

server-certificate*

GetServiceLastAccessedDetails サービスの最終アクセス時間データレポートに関する情報を取得するアクセス許可を付与します Read
GetServiceLastAccessedDetailsWithEntities サービスの最終アクセス時間データレポートからのエンティティに関する情報を取得するアクセス許可を付与します Read
GetServiceLinkedRoleDeletionStatus IAM サービスにリンクされたロールの削除ステータスを取得するアクセス許可を付与します Read

role*

GetUser この例では、ユーザーの作成日、パス、一意の ID、ARN を含む、指定された IAM ユーザーに関する情報を取得する権限を付与します Read

user*

GetUserPolicy 指定の IAM ユーザーに埋め込まれたインラインポリシードキュメントを取得するアクセス許可を付与します Read

user*

ListAccessKeys 指定の IAM ユーザーに関連付けられたアクセスキー ID に関する情報を一覧表示するアクセス許可を付与します リスト

user*

ListAccountAliases AWS アカウントに関連付けられているアカウントエイリアスをリストするアクセス許可を付与します リスト
ListAttachedGroupPolicies 指定された IAM グループにアタッチされている管理ポリシーを一覧表示するアクセス許可を付与します リスト

group*

ListAttachedRolePolicies 指定された IAM ロールにアタッチされている管理ポリシーを一覧表示するアクセス許可を付与します リスト

role*

ListAttachedUserPolicies 指定された IAM ユーザーにアタッチされている管理ポリシーを一覧表示するアクセス許可を付与します リスト

user*

ListEntitiesForPolicy 指定した管理ポリシーがアタッチされているすべての IAM アイデンティティをリストするアクセス許可を付与します リスト

policy*

ListGroupPolicies 指定された IAM グループに埋め込まれているインラインポリシーの名前を一覧表示する権限を付与します リスト

group*

ListGroups 指定されたパスのプレフィックスを持つ IAM グループを一覧表示するアクセス許可を付与します リスト
ListGroupsForUser 指定された IAM ユーザーが属する IAM グループを一覧表示するアクセス許可を付与します リスト

user*

ListInstanceProfiles 指定されたパスのプレフィックスを持つインスタンスプロファイルを一覧表示するアクセス許可を付与します リスト

instance-profile*

ListInstanceProfilesForRole 指定された IAM ロールが関連付けられているインスタンスプロファイルを一覧表示するアクセス許可を付与します リスト

role*

ListMFADevices IAM ユーザーの MFA デバイスを一覧表示するアクセス許可を付与します リスト

user

ListOpenIDConnectProviders AWS アカウントで定義されている IAM OpenID Connect (OIDC) プロバイダーリソースオブジェクトに関する情報を一覧表示するアクセス許可を付与します リスト
ListPolicies すべての管理ポリシーを一覧表示するアクセス許可を付与します リスト
ListPoliciesGrantingServiceAccess エンティティに特定のサービスへのアクセスを付与するポリシーに関する情報をリストするアクセス許可を付与します リスト
ListPolicyVersions ポリシーのデフォルトバージョンとして設定されているバージョンを含め、指定された管理ポリシーのバージョンに関する情報を一覧表示する権限を付与します リスト

policy*

ListRolePolicies 指定された IAM ロールに埋め込まれているインラインポリシーの名前を一覧表示する権限を付与します リスト

role*

ListRoleTags 指定された IAM ロールにアタッチされているタグを一覧表示するアクセス許可を付与します リスト

role*

ListRoles 指定されたパスのプレフィックスを持つ IAM ロールを一覧表示するアクセス許可を付与します リスト
ListSAMLProviders IAM で SAML プロバイダーリソースを一覧表示するアクセス許可を付与します リスト
ListSSHPublicKeys 指定された IAM ユーザーに関連付けられた SSH パブリックキーに関する情報を一覧表示するアクセス許可を付与します リスト

user*

ListServerCertificates 指定されたパスのプレフィックスを持つサーバー証明書を一覧表示するアクセス許可を付与します リスト
ListServiceSpecificCredentials 指定された IAM ユーザーに関連付けられたサービス固有の認証情報に関する情報を一覧表示するアクセス許可を付与します リスト

user*

ListSigningCertificates 指定の IAM ユーザーに関連付けられているデジタル署名用証明書に関する情報を一覧表示するアクセス許可を付与します リスト

user*

ListUserPolicies 指定された IAM ユーザーに埋め込まれているインラインポリシーの名前を一覧表示する権限を付与します リスト

user*

ListUserTags 指定された IAM ユーザーにアタッチされているタグを一覧表示するアクセス許可を付与します リスト

user*

ListUsers 指定されたパスのプレフィックスを持つ IAM ユーザーを一覧表示するアクセス許可を付与します リスト
ListVirtualMFADevices 割り当てステータスにより仮想 MFA デバイスを一覧表示するアクセス許可を付与します リスト
PassRole [アクセス許可のみ] サービスにロールを渡すアクセス許可を付与します 書き込み

role*

iam:AssociatedResourceArn

iam:PassedToService

PutGroupPolicy 指定の IAM グループに埋め込まれたインラインポリシードキュメントを作成または更新するアクセス許可を付与します アクセス権限の管理

group*

PutRolePermissionsBoundary ロールのアクセス許可境界として管理ポリシーを設定する許可を付与します アクセス権限の管理

role*

iam:PermissionsBoundary

PutRolePolicy 指定の IAM ロールに埋め込まれたインラインポリシードキュメントを作成または更新するアクセス許可を付与します アクセス権限の管理

role*

iam:PermissionsBoundary

PutUserPermissionsBoundary IAM ユーザーのアクセス許可境界として管理ポリシーを設定する許可を付与します アクセス権限の管理

user*

iam:PermissionsBoundary

PutUserPolicy 指定の IAM ユーザーに埋め込まれたインラインポリシードキュメントを作成または更新するアクセス許可を付与します アクセス権限の管理

user*

iam:PermissionsBoundary

RemoveClientIDFromOpenIDConnectProvider 指定された IAM OpenID Connect(OIDC) プロバイダーリソースにあるクライアント ID のリストからクライアント ID (閲覧者) を削除するアクセス許可を付与します 書き込み

oidc-provider*

RemoveRoleFromInstanceProfile 指定の EC2 インスタンスプロファイルから指定の IAM ロールを削除するアクセス許可を付与します 書き込み

instance-profile*

RemoveUserFromGroup 指定されたグループから IAM ユーザーを削除するアクセス許可を付与します 書き込み

group*

ResetServiceSpecificCredential IAM ユーザー用のサービス固有の認証情報について、パスワードをリセットするアクセス許可を付与します 書き込み

user*

ResyncMFADevice 指定された MFA デバイスをその IAM エンティティ (ユーザーまたはロール) に同期させるアクセス権限を付与します 書き込み

user*

SetDefaultPolicyVersion 指定されたポリシーの指定されたバージョンを、ポリシーのデフォルトバージョンとして設定するアクセス許可を付与します アクセス権限の管理

policy*

SetSecurityTokenServicePreferences STS グローバルエンドポイントのトークンバージョンを設定するアクセス許可を付与します 書き込み
SimulateCustomPolicy アイデンティティベースのポリシーまたはリソースベースのポリシーが、特定の API オペレーションおよびリソースのアクセス許可を提供するかどうかをシミュレートするアクセス許可を付与します Read
SimulatePrincipalPolicy 指定された IAM エンティティ (ユーザーまたはロール) にアタッチされているアイデンティティベースのポリシーが、特定の API オペレーションおよびリソースのアクセス許可を提供するかどうかをシミュレートするアクセス許可を付与します Read

group

role

user

TagRole IAM ロールにタグを追加するアクセス許可を付与します。 タグ付け

role*

TagUser IAM ユーザーにタグを追加するアクセス許可を付与します。 タグ付け

user*

UntagRole ロールから指定したタグを削除するアクセス許可を付与します。 タグ付け

role*

UntagUser ユーザーから指定したタグを削除するアクセス許可を付与します。 タグ付け

user*

UpdateAccessKey 指定されたアクセスキーステータスをアクティブまたは非アクティブとして更新する権限を付与します 書き込み

user*

UpdateAccountPasswordPolicy AWS アカウントのパスワードポリシー設定を更新するアクセス許可を付与します 書き込み
UpdateAssumeRolePolicy IAM エンティティにロールを継承する権限を与えるポリシーを更新するアクセス許可を付与します アクセス権限の管理

role*

UpdateGroup 指定された IAM グループの名前またはパスを更新するアクセス許可を付与します 書き込み

group*

UpdateLoginProfile 指定された IAM ユーザーのパスワードを変更するアクセス許可を付与します 書き込み

user*

UpdateOpenIDConnectProviderThumbprint OpenID Connect(OIDC) プロバイダーリソースに関連付けられているサーバー証明書のサムプリントのリスト全体を更新するアクセス許可を付与します 書き込み

oidc-provider*

UpdateRole ロールの説明または最大セッション継続時間の設定を更新するアクセス許可を付与します 書き込み

role*

UpdateRoleDescription ロールの説明のみを更新するアクセス許可を付与します 書き込み

role*

UpdateSAMLProvider 既存の SAML プロバイダーリソースのメタデータドキュメントを更新するアクセス許可を付与します 書き込み

saml-provider*

UpdateSSHPublicKey IAM ユーザーの SSH パブリックキーのステータスをアクティブまたは非アクティブに更新するアクセス許可を付与します 書き込み

user*

UpdateServerCertificate IAM に保存されている指定のサーバー証明書の名前やパスを更新するアクセス許可を付与します 書き込み

server-certificate*

UpdateServiceSpecificCredential IAM ユーザーに対し、サービス固有の認証情報のステータスをアクティブまたは非アクティブに更新する権限を付与します 書き込み

user*

UpdateSigningCertificate 指定されたユーザー署名証明書のステータスを有効または無効に更新するアクセス許可を付与します 書き込み

user*

UpdateUser 指定された &IAM; ユーザーの名前またはパスを更新するアクセス許可を付与します 書き込み

user*

UploadSSHPublicKey 指定された IAM ユーザーに関連付けられた SSH パブリックキーを更新するアクセス許可を付与します 書き込み

user*

UploadServerCertificate AWS アカウント用のサーバー証明書エンティティをアップロードするアクセス許可を付与します 書き込み

server-certificate*

UploadSigningCertificate X.509 デジタル署名用証明書をアップロードし、指定の IAM ユーザーに関連付けるアクセス許可を付与します 書き込み

user*

Identity And Access Management で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
access-report arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user arn:${Partition}:iam::${Account}:federated-user/${UserName}
group arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}
mfa arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}
oidc-provider arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}
policy arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

iam:ResourceTag/${TagKey}

saml-provider arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}
server-certificate arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}
sms-mfa arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

iam:ResourceTag/${TagKey}

Identity And Access Management の条件キー

Identity And Access Management は、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
iam:AWSServiceName このロールがアタッチされている AWS のサービスによるアクセスをフィルタリングします。 文字列
iam:AssociatedResourceArn ロールが代わりに使用するリソースに基づいてフィルタ処理する ARN
iam:OrganizationsPolicyId AWS Organizations ポリシーの ID によるアクセスをフィルタリングします。 文字列
iam:PassedToService このロールが渡される AWS のサービスによるアクセスをフィルタリングします。 文字列
iam:PermissionsBoundary 指定されたポリシーが、IAM エンティティ (ユーザーまたはロール) でアクセス許可の境界として設定されているかどうかによりアクセスをフィルタリングします。 文字列
iam:PolicyARN IAM ポリシーの ARN によるアクセスをフィルタリングします。 ARN
iam:ResourceTag/${TagKey} IAM エンティティ (ユーザーまたはロール) にアタッチされたタグによるアクセスをフィルタリングします。 文字列