翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Direct Connect のアクション、リソース、および条件キー
AWS Direct Connect (サービスプレフィックス: directconnect
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用できる API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法について説明します。
AWS Direct Connect で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AcceptDirectConnectGatewayAssociationProposal | 仮想プライベートゲートウェイを Direct Connect ゲートウェイにアタッチするための提案リクエストを受け入れる許可を付与 | 書き込み | |||
AllocateConnectionOnInterconnect | 相互接続上にホスト接続を作成するアクセス許可を付与 | 書き込み | |||
AllocateHostedConnection | AWS Direct Connect パートナーのネットワークと特定の AWS Direct Connect ロケーションとの間に新しいホスト接続を作成するアクセス許可を付与します | 書き込み | |||
AllocatePrivateVirtualInterface | 別の顧客が所有できるようにプライベート仮想インターフェイスをプロビジョニングする許可を付与 | 書き込み | |||
AllocatePublicVirtualInterface | 別の顧客が所有できるようにパブリック仮想インターフェイスをプロビジョニングする許可を付与 | 書き込み | |||
AllocateTransitVirtualInterface | 別の顧客が所有できるようにトランジット仮想インターフェイスをプロビジョニングする許可を付与 | 書き込み | |||
AssociateConnectionWithLag | 接続を LAG に関連付けるアクセス許可を付与します | 書き込み | |||
AssociateHostedConnection | ホスト接続とその仮想インターフェイスをリンク集約グループ (LAG) または相互接続に関連付けるアクセス許可を付与します | 書き込み | |||
AssociateMacSecKey | MAC Security (MACsec) Connection Key Name (CKN)/ Connectivity Association Key (CAK) ペアを AWS Direct Connect 専用接続に関連付けるアクセス許可を付与します | 書き込み | |||
AssociateVirtualInterface | 仮想インターフェイスを指定されたリンク集約グループ (LAG) または接続に関連付けるアクセス許可を付与します | 書き込み | |||
ConfirmConnection | 相互接続上にホスト接続が作成されていることを確認する許可を付与 | 書き込み | |||
ConfirmCustomerAgreement | 接続またはリンク集約グループ (LAG) の作成時に利用規約を確認するアクセス許可を付与します | 書き込み | |||
ConfirmPrivateVirtualInterface | 別の顧客が作成したプライベート仮想インターフェイスの所有権を受け入れる許可を付与 | 書き込み | |||
ConfirmPublicVirtualInterface | 別の顧客が作成したパブリック仮想インターフェイスの所有権を受け入れる許可を付与 | 書き込み | |||
ConfirmTransitVirtualInterface | 別の顧客が作成したトランジット仮想インターフェイスの所有権を受け入れる許可を付与 | 書き込み | |||
CreateBGPPeer | 指定された仮想インターフェイスに BGP ピアを作成するアクセス許可を付与します | 書き込み | |||
CreateConnection | カスタマーネットワークと特定の AWS Direct Connect ロケーション間に新しい接続を作成するアクセス許可を付与します | 書き込み | |||
CreateDirectConnectGateway | Direct Connect ゲートウェイを作成する許可を付与これは、一連の仮想インターフェイスおよび仮想プライベートゲートウェイを接続できるようにする中間オブジェクトです。 | 書き込み | |||
CreateDirectConnectGatewayAssociation | Direct Connect ゲートウェイおよび仮想プライベートゲートウェイ間の関連付けを作成する許可を付与 | 書き込み | |||
CreateDirectConnectGatewayAssociationProposal | 指定された仮想プライベートゲートウェイを、指定された Direct Connect ゲートウェイに関連付けるための提案を作成する許可を付与 | 書き込み | |||
CreateInterconnect | AWS Direct Connect パートナーのネットワークと特定の AWS Direct Connect ロケーションの間に新しい相互接続を作成するアクセス許可を付与します | 書き込み | |||
CreateLag | カスタマーネットワークと特定の AWS Direct Connect ロケーション間の指定された数のバンドルされた物理接続を持つリンク集約グループ (LAG) を作成するアクセス許可を付与します | 書き込み | |||
CreatePrivateVirtualInterface | 新しい仮想プライベートゲートウェイを作成する許可を付与 | 書き込み | |||
CreatePublicVirtualInterface | 新しいパブリック仮想インターフェイスを作成するアクセス許可を付与」 | 書き込み | |||
CreateTransitVirtualInterface | 新しい中継仮想インターフェイスを作成するアクセス許可を付与 | 書き込み | |||
DeleteBGPPeer | 指定された顧客アドレスと BGP を持つ、指定された仮想インターフェイス上の指定された ASN ピアを削除するアクセス許可を付与します | 書き込み | |||
DeleteConnection | 接続を削除する許可を付与 | 書き込み | |||
DeleteDirectConnectGateway | 指定された Direct Connect gatewayの記録設定を削除する許可を付与 | 書き込み | |||
DeleteDirectConnectGatewayAssociation | 指定されたDirect Connect ゲートウェイおよび仮想プライベートゲートウェイ間の関連付けを削除する許可を付与 | 書き込み | |||
DeleteDirectConnectGatewayAssociationProposal | 指定されたDirect Connect ゲートウェイおよび仮想プライベートゲートウェイ間の関連付け提案リクエストを削除する許可を付与 | 書き込み | |||
DeleteInterconnect | 指定されたインターコネクトを削除するアクセス許可を付与 | 書き込み | |||
DeleteLag | 指定されたリンク集約グループ (LAG) を削除するアクセス許可を付与します | 書き込み | |||
DeleteVirtualInterface | 仮想インターフェースを削除するアクセス許可を付与 | 書き込み | |||
DescribeConnectionLoa | 接続のLOAを記述CFAする許可を付与 | 読み取り | |||
DescribeConnections | このリージョンで設定されたすべての接続を記述するアクセス許可を付与 | 読み取り | |||
DescribeConnectionsOnInterconnect | 指定された相互接続でプロビジョニングされている接続のリストを記述をする許可を付与 | 読み取り | |||
DescribeCustomerMetadata | 顧客契約のリストと、その署名付きステータス、顧客が NNIPartner、Word、NNIPartnerV2Word のいずれであるかを表示するアクセス許可を付与します nonPartner | 読み取り | |||
DescribeDirectConnectGatewayAssociationProposals | 仮想プライベートゲートウェイおよび Direct Connect ゲートウェイ間の接続に関する 1 つ以上の関連付け提案の記述する許可を付与 | 読み取り | |||
DescribeDirectConnectGatewayAssociations | Direct Connect ゲートウェイおよび仮想プライベートゲートウェイの間の関連付けを記述する許可を付与 | 読み取り | |||
DescribeDirectConnectGatewayAttachments | Direct Connect ゲートウェイおよび仮想インターフェイス間のアタッチメントを記述する許可を付与 | 読み取り | |||
DescribeDirectConnectGateways | すべての Direct Connect ゲートウェイ、もしくは指定された Direct Connect ゲートウェイのみを記述する許可を付与 | 読み取り | |||
DescribeHostedConnections | 指定された相互接続またはリンク集約グループ (LAG) でプロビジョニングされたホスト接続を記述するアクセス許可を付与します | 読み取り | |||
DescribeInterconnectLoa | 相互接続のLOACFAを記述するアクセス許可を付与します | 読み取り | |||
DescribeInterconnects | が所有する相互接続のリストを記述する許可を付与 AWS アカウント | 読み取り | |||
DescribeLags | すべてのリンク集約グループ (LAG) または指定された LAG を記述するアクセス許可を付与します | 読み取り | |||
DescribeLoa | 接続、相互接続、またはリンク集約グループの LOA-CFA を記述するアクセス許可を付与します (LAG) | 読み取り | |||
DescribeLocations | 現在の AWS リージョンの AWS Direct Connect ロケーションのリストを記述するアクセス許可を付与します | 読み取り | |||
DescribeRouterConfiguration | 仮想インターフェイスのルータの詳細を説明するアクセス許可を付与 | 読み取り | |||
DescribeTags | 指定された AWS Direct Connect リソースに関連付けられたタグを記述するアクセス許可を付与します | 読み取り | |||
DescribeVirtualGateways | が所有する仮想プライベートゲートウェイのリストを記述するアクセス許可を付与します AWS アカウント | 読み取り | |||
DescribeVirtualInterfaces | のすべての仮想インターフェイスを記述する許可を付与 AWS アカウント | 読み取り | |||
DisassociateConnectionFromLag | リンク集約グループ (LAG) から接続の関連付けを解除するアクセス許可を付与します | 書き込み | |||
DisassociateMacSecKey | MAC Security (MACsec) セキュリティキーと AWS Direct Connect 専用接続間の関連付けを削除するアクセス許可を付与します | 書き込み | |||
ListVirtualInterfaceTestHistory | 仮想インターフェイスのフェイルオーバーテスト履歴を一覧表示する許可を付与 | リスト | |||
StartBgpFailoverTest | BGP ピアリングセッションを Word DOWN状態にして、設定が障害耐性要件を満たしていることを確認する仮想インターフェイスフェイルオーバーテストを開始するアクセス許可を付与します。トラフィックを送信して、サービス停止が起こらないことを確認できます。 | 書き込み | |||
StopBgpFailoverTest | 仮想インターフェイスのフェイルオーバーテストを停止するアクセス許可を付与 | 書き込み | |||
TagResource | 指定された AWS Direct Connect リソースに指定されたタグを追加するアクセス許可を付与します。各リソースには、最大 50 個のタグを設定できます。 | タグ付け | |||
UntagResource | 指定された AWS Direct Connect リソースから 1 つ以上のタグを削除するアクセス許可を付与します | タグ付け | |||
UpdateConnection | AWS Direct Connect 専用接続設定を更新するアクセス許可を付与します。接続の次のパラメータを更新できます: 接続名または接続の MAC Security (MACsec) 暗号化モード | 書き込み | |||
UpdateDirectConnectGateway | Direct Connect ゲートウェイの名前を更新するアクセス許可を付与 | 書き込み | |||
UpdateDirectConnectGatewayAssociation | Direct Connect ゲートウェイの関連付けの指定された属性を更新する許可を付与 | 書き込み | |||
UpdateLag | 指定されたリンク集約グループ (LAG) の属性を更新する許可を付与 | 書き込み | |||
UpdateVirtualInterfaceAttributes | 指定された仮想プライベートインターフェースの指定された属性を更新する許可を付与 | 書き込み |
AWS Direct Connect で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
dxcon |
arn:${Partition}:directconnect:${Region}:${Account}:dxcon/${ConnectionId}
|
|
dxlag |
arn:${Partition}:directconnect:${Region}:${Account}:dxlag/${LagId}
|
|
dxvif |
arn:${Partition}:directconnect:${Region}:${Account}:dxvif/${VirtualInterfaceId}
|
|
dx-gateway |
arn:${Partition}:directconnect::${Account}:dx-gateway/${DirectConnectGatewayId}
|
AWS Direct Connect の条件キー
AWS Direct Connect では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | [Type] (タイプ) |
---|---|---|
aws:RequestTag/${TagKey} | リクエスト内のタグキーおよび値のペアのプレゼンスに基づいてアクセスをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースにアタッチされているタグキーおよび値のペアに基づいてアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内のタグキーのプレゼンスに基づいたアクションでアクセスをフィルタリングします。 | 文字列 |