AWS のサービスのアクション、リソース、および条件キー - サービス認証リファレンス
アクションテーブルリソースタイプテーブル条件キーテーブル

AWS のサービスのアクション、リソース、および条件キー

それぞれの AWS のサービスでは、IAM ポリシーで使用できるように、アクション、リソース、および条件コンテキストキーを定義することができます。このトピックでは、各サービスの要素の概要について説明します。

各トピックは、利用可能なアクション、リソース、条件キーのリストを含むテーブルで構成されます。

アクションテーブル

[アクション] テーブルには、IAM ポリシーステートメントの Action 要素で使用できるアクションがすべて一覧表示されています。サービスによって定義された API オペレーションがすべて IAM ポリシーのアクションとして使用できるとは限りません。サービスによって、API オペレーションに直接対応しないアクションが定義されることがあります。IAM ポリシーで使用できるアクションを特定するには、このリストを使用します。ActionResource、またはCondition 要素の詳細については、「IAM JSON ポリシー要素のリファレンス」を参照してください。[アクション] テーブルおよび [説明] テーブル列は、自己記述式です。

  • [アクセスレベル] 列では、アクションの指定方法 (リスト、読み取り、書き込み、アクセス許可管理、タグ付け) について説明します。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、「ポリシー概要内のアクセスレベルの概要について」を参照してください。

  • [リソースタイプ] 列は、アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。列が空の場合、アクションはリソースレベルのアクセス許可をサポートしておらず、ポリシーですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、ポリシーの Resource 要素でリソース ARN を指定できます。リソースの詳細については、[リソースタイプ] テーブルの該当する行を参照してください。1 つのステートメントに含まれるアクションやリソースはすべて、相互に互換性がある必要があります。アクションに対して有効でないリソースを指定した場合、そのアクションを使用するリクエストは失敗し、ステートメントの Effect は適用されません。

    必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

  • [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。条件キーは、アクション、またはアクションと特定のリソースでサポートされる場合があります。キーが特定のリソースタイプと同じ行にあるかどうかには細心の注意を払ってください。このテーブルには、アクションに使用可能な、または無関係な状況のグローバル条件キーは含まれていません。グローバル条件キーの詳細については、「AWS グローバル条件コンテキストキー」を参照してください。

  • [依存アクション] 列には、アクションそのもののアクセス許可に加えて、アクションを適切に呼び出すために必要な追加のアクセス許可が含まれています。これは、アクションで複数のリソースにアクセスする場合に必要です。

リソースタイプテーブル

[リソースタイプ] テーブルには、Resource ポリシー要素で ARN として指定できるすべてのリソースタイプが一覧表示されます。すべてのアクションで、すべてのリソースタイプを指定できるわけではありません。一部のリソースタイプは、特定のアクションでのみ動作します。リソースタイプをサポートしないアクションを使用してステートメントでそのリソースタイプを指定する場合、ステートメントではアクセスが許可されません。Resource 要素の詳細については、「IAM JSON ポリシーの要素: リソース」を参照してください。

  • [ARN] 列では、このタイプのリソースの参照に使用する Amazon リソースネーム (ARN) 形式を指定します。$ で始まる部分は、お客様の状況で実際の値に置き換える必要があります。たとえば、ARN に $user-name と表示されている場合は、その文字列を実際の IAM ユーザー名か、IAM ユーザー名を含むポリシー変数に置き換える必要があります。ARN の詳細については、「IAM ARN」を参照してください。

  • [条件キー] 列では、このリソースと上の表にあるサポートするアクションの両方がステートメントに含まれている場合にのみ IAM ポリシーステートメントに含むことができる条件コンテキストキーを指定します。

条件キーテーブル

[条件キー] テーブルには、IAM ポリシーステートメントの Condition 要素で使用できる条件コンテキストキーがすべて一覧表示されています。すべてのアクションやリソースで、すべてのキーを指定できるとは限りません。特定のキーは特定のタイプのアクションとリソースでのみ機能します。Condition 要素の詳細については、「IAM JSON ポリシーの要素: 条件」を参照してください。

  • [タイプ] 列では、条件キーのデータタイプを指定します。このデータタイプを使用して、リクエストの値と、ポリシーステートメントの値の比較に使用できる条件演算子を特定します。データタイプに適切な演算子を使用する必要があります。不適切な演算子を使用した場合、条件は一致しないため、ポリシーステートメントは適用されません。

    [タイプ] 列でシンプルなタイプの「リスト」を指定した場合、ポリシーで複数のキーおよび値を使用することができます。これは、演算子で条件設定プレフィックスを使用して行います。ForAllValues プレフィックスを使用して、リクエスト内のすべての値がポリシーステートメントの値と一致する必要があることを指定します。ForAnyValue プレフィックスを使用して、リクエスト内の少なくとも 1 つの値がポリシーステートメントの値の 1 つと一致することを指定します。

トピック