翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudFormation のアクション、リソース、および条件キー
AWS CloudFormation (サービスプレフィックス: cloudformation) では、 アクセスIAM許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
API このサービスで使用可能なオペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS CloudFormationで定義されるアクション
IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前のAPIオペレーションまたはCLIコマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ARNそのアクションを含むステートメントでそのタイプの を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARNまたは パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| ActivateOrganizationsAccess | StackSets と Organizations 間の信頼されたアクセスをアクティブ化する許可を付与。 StackSets と Organizations 間の信頼されたアクセスを有効にすると、管理アカウントに組織の を作成および管理するためのアクセス許可が付与されます StackSets 。 | 書き込み | |||
| ActivateType | 公開されたサードパーティー拡張機能をアクティブ化するためのアクセス許可を付与し、スタックテンプレートで使用できるようにする | 書き込み | |||
| BatchDescribeTypeConfigurations | 指定された CloudFormation 拡張機能の設定データを返す許可を付与 | 読み取り | |||
| CancelUpdateStack | 指定されたスタックの更新をキャンセルするアクセス許可を付与 | 書き込み | |||
| ContinueUpdateRollback | UPDATE_ROLLBACK_FAILED 状態のスタックを UPDATE_ROLLBACK_COMPLETE 状態にロールバックし続けるアクセス許可を付与 | 書き込み | |||
| CreateChangeSet | スタックの変更のリストを作成するアクセス許可を付与 | 書き込み | |||
| CreateGeneratedTemplate | でまだ管理されていない既存のリソースからテンプレートを作成する許可を付与 CloudFormation | 書き込み | |||
| CreateStack | テンプレートで指定されたスタックを作成するアクセス許可を付与 | Write | |||
| CreateStackInstances | 指定されたリージョン内で指定されたアカウントのスタックインスタンスを作成するアクセス許可を付与 | Write | |||
| CreateStackSet | テンプレートで指定されたスタックセットを作成するアクセス許可を付与 | Write | |||
| CreateUploadBucket[アクセス許可のみ] | Amazon S3 バケットにテンプレートをアップロードするアクセス許可を付与 AWS CloudFormation コンソールでのみ使用され、APIリファレンスには記載されていません。 | 書き込み | |||
| DeactivateOrganizationsAccess | StackSets と Organizations 間の信頼されたアクセスを無効にするアクセス許可を付与します。信頼されたアクセスが非アクティブ化されている場合、管理アカウントには、組織のサービスマネージドを作成および管理するためのアクセス許可がありません StackSets 。 | 書き込み | |||
| DeactivateType | アカウントとリージョン内で先にアクティブ化されている、公開拡張機能を非アクティブ化するためのアクセス許可を付与 | 書き込み | |||
| DeleteChangeSet | 指定された変更セットを削除するアクセス許可を付与 変更セットを削除することで、誤った変更セットの実行が防止されます。 | 書き込み | |||
| DeleteGeneratedTemplate | 生成されたテンプレートを削除する許可を付与する | 書き込み | |||
| DeleteStack | 指定されたスタックを削除するアクセス許可を付与 | Write | |||
| DeleteStackInstances | 指定されたリージョン内で指定されたアカウントのスタックインスタンスを削除するアクセス許可を付与 | Write | |||
| DeleteStackSet | 指定されたスタックセットを削除するアクセス許可を付与 | 書き込み | |||
| DeregisterType | 既存の CloudFormation タイプまたはタイプバージョンを登録解除する許可を付与 | 書き込み | |||
| DescribeAccountLimits | アカウント AWS CloudFormation の制限を取得する許可を付与 | 読み取り | |||
| DescribeChangeSet | 指定された変更セットの説明を返すアクセス許可を付与 | 読み取り | |||
| DescribeChangeSetHooks | 指定した変更セットのフック呼び出し情報を返す許可を付与 | 読み取り | |||
| DescribeGeneratedTemplate | 生成されたテンプレートを記述する許可を付与します。出力には、生成されたテンプレートの作成の進行状況に関する詳細が含まれます | 読み取り | |||
| DescribeOrganizationsAccess | アカウント OrganizationAccess のステータスに関する情報を返すアクセス許可を付与 | 読み取り | |||
| DescribePublisher | CloudFormation 拡張機能パブリッシャーに関する情報を返す許可を付与 | 読み取り | |||
| DescribeResourceScan | リソーススキャンの詳細を記述する許可を付与する | 読み取り | |||
| DescribeStackDriftDetectionStatus | スタックドリフト検出オペレーションに関する情報を返すアクセス許可を付与 | Read | |||
| DescribeStackEvents | 指定されたスタックについて、スタック関連のすべてのイベントを返すアクセス許可を付与 | 読み取り | |||
| DescribeStackInstance | 指定されたスタックセット、 AWS アカウント、リージョンに関連付けられているスタックインスタンスを返すアクセス許可を付与 | 読み取り | |||
| DescribeStackResource | 指定のスタック内にある指定のリソースの説明を返すアクセス許可を付与 | Read | |||
| DescribeStackResourceDrifts | 指定されたスタック内でドリフトが確認されたリソースのドリフト情報を返すアクセス許可を付与 | 読み取り | |||
| DescribeStackResources | 実行中および削除されたスタックの AWS リソース記述を返す許可を付与 | 読み取り | |||
| DescribeStackSet | 指定されたスタックセットの説明を返すアクセス許可を付与 | Read | |||
| DescribeStackSetOperation | 指定されたスタックセットオペレーションの説明を返すアクセス許可を付与 | 読み取り | |||
| DescribeStacks | 指定されたスタックの説明を返すアクセス許可を付与し、 ListStacks アクションと組み合わせて使用する場合はすべてのスタックに返すアクセス許可を付与します | リスト |
cloudformation:ListStacks |
||
| DescribeType | リクエストされた CloudFormation タイプに関する情報を返す許可を付与 | 読み取り | |||
| DescribeTypeRegistration | CloudFormation タイプの登録プロセスに関する情報を返す許可を付与 | 読み取り | |||
| DetectStackDrift | スタックの実際の設定が、スタックテンプレートおよびテンプレートパラメータとして指定された値で定義されている、意図された設定と異なるかどうかを検出するアクセス許可を付与 | Read | |||
| DetectStackResourceDrift | リソースの実際の設定が、スタックテンプレートおよびテンプレートパラメータとして指定された値で定義されている、意図された設定と異なるか、またはドリフトしているかについての情報を返すアクセス許可を付与 | Read | |||
| DetectStackSetDrift | ユーザーがスタックセットとそのスタックセットに属するスタックインスタンスのドリフトを検出できるようにアクセス許可を付与 | Read | |||
| EstimateTemplateCost | テンプレートの推定月額コストを返すアクセス許可を付与 | Read | |||
| ExecuteChangeSet | 指定された変更セットの作成時に提供された入力情報を使い、スタックを更新するアクセス許可を付与 | 書き込み | |||
| GetGeneratedTemplate | 生成されたテンプレートを取得する許可を付与する | 読み取り | |||
| GetStackPolicy | 指定されたスタックのスタックポリシーを返すアクセス許可を付与 | Read | |||
| GetTemplate | 指定されたスタックのテンプレート本文を返すアクセス許可を付与 | Read | |||
| GetTemplateSummary | 承認ルールテンプレートに関する情報を返すアクセス許可を付与 | 読み取り | |||
| ImportStacksToStackSet | ユーザーが既存のスタックを新規または既存のスタックセットにインポートできるようにする許可を付与 | 書き込み | |||
| ListChangeSets | スタックのアクティブな変更セットごとに、ID とステータスを返すアクセス許可を付与 例えば、_INCREATE_ または _PROGRESS 状態にある変更セットを AWS CloudFormation 一覧表示しますCREATE。PENDING | リスト | |||
| ListExports | このアクションを呼び出すアカウントおよびリージョンにあるエクスポートされた出力値を一覧表示するアクセス許可を付与 | リスト | |||
| ListGeneratedTemplates | このリージョンで生成されたテンプレートを一覧表示する許可を付与する | リスト | |||
| ListHookResults | 指定されたターゲットのフック呼び出し結果情報を返す許可を付与 | リスト | |||
| ListImports | エクスポートされた出力値をインポートしているスタックを一覧表示するアクセス許可を付与 | リスト | |||
| ListResourceScanRelatedResources | リソーススキャンからのリソースのリストに関連するリソースを一覧表示する許可を付与します。レスポンスは、返された各リソースがすでに によって管理されているかどうかを示します。 CloudFormation | リスト | |||
| ListResourceScanResources | リソーススキャンからリソースを一覧表示する許可を付与します。結果は、リソース識別子、リソースタイプのプレフィックス、タグキー、タグ値でフィルタリングできます | リスト | |||
| ListResourceScans | リソーススキャンを最新のものから古いものまで一覧表示する許可を付与します。デフォルトでは、最大 10 回リソーススキャンが返されます | リスト | |||
| ListStackInstanceResourceDrifts | 指定されたスタックインスタンス内でドリフトが確認されたリソースのドリフト情報を返すアクセス許可を付与します | リスト | |||
| ListStackInstances | 指定されたスタックセットに関連付けられているスタックインスタンスについて要約情報を返すアクセス許可を付与 | リスト | |||
| ListStackResources | 指定されたスタックのすべてのリソースの説明を返すアクセス許可を付与 | リスト | |||
| ListStackSetAutoDeploymentTargets | StackSet 自動デプロイターゲットに関する概要情報を返す許可を付与 | リスト | |||
| ListStackSetOperationResults | スタックセットオペレーションの結果に関する要約情報を返すアクセス許可を付与 | リスト | |||
| ListStackSetOperations | スタックセットで実行されたオペレーションに関する概要情報を返すアクセス許可を付与 | リスト | |||
| ListStackSets | ユーザーに関連付けられたスタックセットに関する概要情報を返すアクセス許可を付与 | リスト | |||
| ListStacks | ステータスが指定された と一致するスタックの概要情報を返すアクセス許可を付与します StackStatusFilter。 DescribeStacks アクションと組み合わせて、 はスタックの説明を一覧表示するアクセス許可を付与します | リスト | |||
| ListTypeRegistrations | CloudFormation タイプの登録試行を一覧表示する許可を付与 | リスト | |||
| ListTypeVersions | 特定の CloudFormation タイプのバージョンを一覧表示する許可を付与 | リスト | |||
| ListTypes | 使用可能な CloudFormation タイプを一覧表示する許可を付与 | リスト | |||
| PublishType | 指定された拡張機能をこのリージョンのパブリック拡張機能として CloudFormation レジストリに公開する許可を付与 | 書き込み | |||
| RecordHandlerProgress | ハンドラーの進行状況を記録する許可を付与 | 書き込み | |||
| RegisterPublisher | CloudFormation レジストリ内のパブリック拡張のパブリッシャーとしてアカウントを登録する許可を付与 | 書き込み | |||
| RegisterType | 新しい CloudFormation タイプを登録する許可を付与 | 書き込み | |||
| RollbackStack | スタックを最後の安定状態にロールバックするアクセス許可を付与 | 書き込み | |||
| SetStackPolicy | 指定されたスタックのスタックポリシーを設定するアクセス許可を付与 | 権限の管理 | |||
| SetTypeConfiguration | 指定されたアカウントとリージョンで、登録された CloudFormation 拡張機能の設定データを設定する許可を付与 | 書き込み | |||
| SetTypeDefaultVersion | CloudFormation オペレーションに適用される CloudFormation タイプのバージョンを設定する許可を付与 | 書き込み | |||
| SignalResource | 成功または失敗のステータスを持つ指定のリソースにシグナルを送信するアクセス許可を付与 | 書き込み | |||
| StartResourceScan | このリージョンのこのアカウントのリソースのスキャンを開始する許可を付与する | 書き込み | |||
| StopStackSetOperation | スタックセットおよびそれに関連付けられているスタックインスタンスで進行中のオペレーションを停止するアクセス許可を付与 | Write | |||
| TagResource | クラウドフォーメーションリソースにタグを付けるアクセス許可を付与 | Tagging | |||
| TestType | 登録された拡張機能をテストして、 CloudFormation レジストリで公開するために必要なすべての要件を満たしていることを確認する許可を付与 | 書き込み | |||
| UntagResource | クラウドフォーメーションリソースのタグを解除するアクセス許可を付与 | Tagging | |||
| UpdateGeneratedTemplate | 生成されたテンプレートを更新する許可を付与します。これは、名前の変更、リソースの追加と削除、リソースの更新、 DeletionPolicy および UpdateReplacePolicy 設定の変更に使用できます。 | 書き込み | |||
| UpdateStack | テンプレートで指定されたスタックを更新するアクセス許可を付与 | Write | |||
| UpdateStackInstances | 指定されたリージョン内で指定されたアカウントのスタックインスタンスのパラメータ値を更新するアクセス許可を付与 | Write | |||
| UpdateStackSet | テンプレートで指定されたスタックセットを更新するアクセス許可を付与 | Write | |||
| UpdateTerminationProtection | 指定されたスタックの終了保護を更新するアクセス許可を付与 | Write | |||
| ValidateTemplate | 指定されたテンプレートを検証するアクセス許可を付与 | 読み取り |
AWS CloudFormation で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| changeset |
arn:${Partition}:cloudformation:${Region}:${Account}:changeSet/${ChangeSetName}/${Id}
|
|
| stack |
arn:${Partition}:cloudformation:${Region}:${Account}:stack/${StackName}/${Id}
|
|
| stackset |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset/${StackSetName}:${Id}
|
|
| stackset-target |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset-target/${StackSetTarget}
|
|
| type |
arn:${Partition}:cloudformation:${Region}:${Account}:type/resource/${Type}
|
|
| generatedtemplate |
arn:${Partition}:cloudformation:${Region}:${Account}:generatedTemplate/${Id}
|
|
| resourcescan |
arn:${Partition}:cloudformation:${Region}:${Account}:resourceScan/${Id}
|
AWS CloudFormation の条件キー
AWS CloudFormation は、 IAMポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
| cloudformation:ChangeSetName | AWS CloudFormation 変更セット名でアクセスをフィルタリングします。を使用して、IAMユーザーが実行または削除できる変更セットを制御する | 文字列 |
| cloudformation:CreateAction | リソース変更APIアクションの名前でアクセスをフィルタリングします。を使用して、スタックまたはスタックセットでタグを追加または削除するために使用できるAPIsIAMユーザーを制御する | 文字列 |
| cloudformation:ImportResourceTypes | : AWS::EC2:Instance などのテンプレートリソースタイプでアクセスをフィルタリングします。を使用して、IAMユーザーがリソースをスタックにインポートするときに操作できるリソースタイプを制御します。 | 文字列 |
| cloudformation:ResourceTypes | : AWS::EC2:Instance などのテンプレートリソースタイプでアクセスをフィルタリングします。を使用して、IAMユーザーがスタックを作成または更新するときに操作できるリソースタイプを制御する | ArrayOfString |
| cloudformation:RoleArn | IAM サービスロールARNの でアクセスをフィルタリングします。を使用して、IAMユーザーがスタックまたは変更セットを操作するために使用できるサービスロールを制御する | ARN |
| cloudformation:StackPolicyUrl | Amazon S3 スタックポリシー でアクセスをフィルタリングしますURL。を使用して、スタックの作成または更新アクション中にIAMユーザーがスタックに関連付けることができるスタックポリシーを制御する | 文字列 |
| cloudformation:TargetRegion | スタックセットのターゲットリージョンによりアクセスをフィルタリングする を使用して、IAMユーザーがスタックセットを作成または更新するときに使用できるリージョンを制御する | ArrayOfString |
| cloudformation:TemplateUrl | Amazon S3 テンプレート でアクセスをフィルタリングしますURL。を使用して、IAMユーザーがスタックを作成または更新するときに使用できるテンプレートを制御する | 文字列 |
