View a markdown version of this page

Amazon CloudWatch Application Signals のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudWatch Application Signals のアクション、リソース、および条件キー

Amazon CloudWatch Application Signals (サービスプレフィックス: application-signals) では、IAM 許可ポリシーで使用できるように、次のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon CloudWatch Application Signals で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

アクションテーブルの [アクセスレベル] 列では、アクションの指定方法 (リスト、読み取り、アクセス許可管理、タグ付け) について説明します。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、「ポリシー概要内のアクセスレベル」を参照してください。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

Actions テーブルの [依存アクション] 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchDeleteInstrumentationConfigurations 計測設定をバッチ削除するためのアクセス許可を付与します 書き込み

instrumentationConfig*

BatchGetServiceLevelObjectiveBudgetReport サービスレベル目標の予算レポートを一括取得するためのアクセス許可を付与 読み取り

slo*

BatchUpdateExclusionWindows Amazon CloudWatch SLO から除外ウィンドウを追加または削除するアクセス許可を付与 書き込み

slo*

CreateInstrumentationConfiguration 動的計測の計測設定を作成するアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateServiceLevelObjective サービスレベル目標を作成するためのアクセス許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteGroupingConfiguration グループ化設定を削除するアクセス許可を付与 書き込み
DeleteInstrumentationConfiguration 計測設定を削除するアクセス許可を付与します 書き込み

instrumentationConfig*

DeleteServiceLevelObjective サービスレベル目標を削除するためのアクセス許可を付与 書き込み

slo*

GetInstrumentationConfiguration 計測設定を取得するアクセス許可を付与します 読み取り

instrumentationConfig*

GetInstrumentationConfigurationStatus 計測設定のステータス履歴を取得するアクセス許可を付与します 読み取り

instrumentationConfig*

GetService サービスに関する情報を取得するためのアクセス許可を付与 読み取り
GetServiceLevelObjective サービスレベル目標に関する情報を取得するためのアクセス許可を付与 読み取り

slo*

モニタリングアカウントに Application Signals リソースを共有する許可を付与 書き込み
ListAuditFindings サービス監査結果を一覧表示するアクセス許可を付与 リスト
ListEntityEvents エンティティのイベントを一覧表示するアクセス許可を付与します リスト
ListGroupingAttributeDefinitions グループ化属性設定を一覧表示するアクセス許可を付与 リスト
ListInstrumentationConfigurations 計測設定を一覧表示するアクセス許可を付与します リスト
ListObservedEntities 他のエンティティに関連付けられているエンティティを一覧表示するアクセス許可を付与 リスト
ListServiceDependencies サービスの依存関係を一覧表示する許可を付与する 読み取り
ListServiceDependents サービスの依存関係を一覧表示する許可を付与する 読み取り
ListServiceLevelObjectiveExclusionWindows Amazon CloudWatch SLO の除外ウィンドウを一覧表示する許可を付与する リスト

slo*

ListServiceLevelObjectives サービスレベル目標を一覧表示するためのアクセス許可を付与 リスト
ListServiceOperations サービスオペレーションを一覧表示する許可を付与する 読み取り
ListServiceStates サービス状態を一覧表示する許可を付与 リスト
ListServices サービスを一覧表示する許可を付与 リスト
ListTagsForResource Amazon CloudWatch Application Signals リソースのタグを一覧表示するアクセス許可を付与します 読み取り

instrumentationConfig

slo

PutGroupingConfiguration グループ化設定を作成または更新するアクセス許可を付与 書き込み
ReportInstrumentationConfigurationStatus 計測設定のステータスを報告するアクセス許可を付与します 書き込み

instrumentationConfig*

StartDiscovery CloudWatch 検出を有効にする許可を付与する 書き込み
TagResource Amazon CloudWatch Application Signals リソースにタグを追加する許可を付与 Tagging

instrumentationConfig

slo

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Amazon CloudWatch Application Signals リソースからタグを削除するアクセス許可を付与します Tagging

instrumentationConfig

slo

aws:TagKeys

UpdateServiceLevelObjective サービスレベル目標を更新するためのアクセス許可を付与 書き込み

slo*

Amazon CloudWatch Application Signals で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
slo arn:${Partition}:application-signals:${Region}:${Account}:slo/${SloName}

aws:ResourceTag/${TagKey}

instrumentationConfig arn:${Partition}:application-signals:${Region}:${Account}:instrumentationConfig/${Service}/${Environment}/${SignalType}/${LocationHash}

aws:ResourceTag/${TagKey}

Amazon CloudWatch Application Signals の条件キー

Amazon CloudWatch Application Signals は、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「AWS グローバル条件コンテキストキー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグの許可された値のセットでアクセスをフィルタリングします String
aws:ResourceTag/${TagKey} リソースに関連付けられたタグ値でアクセスをフィルタリングします String
aws:TagKeys リクエスト内の必須タグの存在でアクセスをフィルタリングします ArrayOfString