AWS サービスのアクション、リソース、および条件キー

[アクセスレベル] 列では、アクションの指定方法 (リスト、読み取り、書き込み、アクセス許可管理、タグ付け) について説明します。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、「ポリシー概要内のアクセスレベルの概要について」を参照してください。

[リソースタイプ] 列は、アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。列が空の場合、アクションはリソースレベルのアクセス許可をサポートしておらず、ポリシーですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、ポリシーの Resource 要素でリソース ARN を指定できます。リソースの詳細については、[リソースタイプ] テーブルの該当する行を参照してください。1 つのステートメントに含まれるアクションやリソースはすべて、相互に互換性がある必要があります。アクションに対して有効でないリソースを指定した場合、そのアクションを使用するリクエストは失敗し、ステートメントの Effect は適用されません。

必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

[条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。条件キーは、アクション、またはアクションと特定のリソースでサポートされる場合があります。キーが特定のリソースタイプと同じ行にあるかどうかには細心の注意を払ってください。このテーブルには、アクションに使用可能な、または無関係な状況のグローバル条件キーは含まれていません。グローバル条件キーの詳細については、「AWS グローバル条件コンテキストキー」を参照してください。

[依存アクション] 列には、アクションそのもののアクセス許可に加えて、アクションを適切に呼び出すために持っておくべき追加のアクセス許可が含まれています。これは、アクションで複数のリソースにアクセスする場合に必要です。

依存アクションは、一部のシナリオで必要とならない場合があります。ユーザーへの詳細な権限の付与について詳しくは、個々のサービスに関する資料を参照してください。

[ARN] 列では、このタイプのリソースの参照に使用する Amazon リソースネーム (ARN) 形式を指定します。$ で始まる部分は、お客様の状況で実際の値に置き換える必要があります。例えば、ARN に $user-name と表示されている場合は、その文字列を実際のユーザー名か、ユーザー名を含むポリシー変数に置き換える必要があります。ARN の詳細については、「IAM ARN」を参照してください。

[条件キー] 列では、このリソースと上の表にあるサポートするアクションの両方がステートメントに含まれている場合にのみ IAM ポリシーステートメントに含むことができる条件コンテキストキーを指定します。

[タイプ] 列では、条件キーのデータタイプを指定します。このデータタイプを使用して、リクエストの値と、ポリシーステートメントの値の比較に使用できる条件演算子を特定します。データタイプに適切な演算子を使用する必要があります。不適切な演算子を使用した場合、条件は一致しないため、ポリシーステートメントは適用されません。

[タイプ] 列でシンプルなタイプの「リスト」を指定した場合、ポリシーで複数のキーおよび値を使用することができます。これは、演算子で条件設定プレフィックスを使用して行います。ForAllValues プレフィックスを使用して、リクエスト内のすべての値がポリシーステートメントの値と一致する必要があることを指定します。ForAnyValue プレフィックスを使用して、リクエスト内の少なくとも 1 つの値がポリシーステートメントの値の 1 つと一致することを指定します。