翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IAM Identity Center ( AWS Single Sign-On の後継) ディレクトリのアクション、リソース、および条件キー
AWS IAM Identity Center ( AWS Single Sign-On の後継) ディレクトリ (サービスプレフィックス: sso-directory
) では、 アクセスIAM許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
API このサービスで使用可能なオペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
トピック
AWS IAM Identity Center ( AWS Single Sign-On の後継) ディレクトリで定義されるアクション
IAM ポリシーステートメントの Action
要素では、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前のAPIオペレーションまたはCLIコマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ARNそのアクションを含むステートメントでそのタイプの を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARNまたは パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AddMemberToGroup | Identity Center が AWS IAMデフォルトで提供するディレクトリ内のグループにメンバーを追加する許可を付与 | 書き込み | |||
CompleteVirtualMfaDeviceRegistration | 仮想MFAデバイスの作成プロセスを完了する許可を付与 | 書き込み | |||
CompleteWebAuthnDeviceRegistration | WebAuthn デバイスの登録プロセスを完了する許可を付与 | 書き込み | |||
CreateAlias | Identity Center がデフォルトで提供するディレクトリ AWS IAMのエイリアスを作成する許可を付与 | 書き込み | |||
CreateBearerToken | 特定のプロビジョニングテナントのベアラートークンを作成する許可を付与。 | Write | |||
CreateExternalIdPConfigurationForDirectory | ディレクトリ用の外部 ID プロバイダ設定を作成する許可を付与。 | 書き込み | |||
CreateGroup | Identity Center がデフォルトで提供するディレクトリ AWS IAMにグループを作成する許可を付与 | 書き込み | |||
CreateProvisioningTenant | 指定したディレクトリのプロビジョニングテナントを作成する許可を付与。 | 書き込み | |||
CreateUser | Identity Center がデフォルトで提供するディレクトリ AWS IAMにユーザーを作成する許可を付与 | 書き込み | |||
DeleteBearerToken | ベアラートークンを削除する許可を付与。 | Write | |||
DeleteExternalIdPCertificate | 指定された外部 IdP 証明書を削除する許可を付与。 | Write | |||
DeleteExternalIdPConfigurationForDirectory | ディレクトリに関連付けられた外部 ID プロバイダ設定を削除する許可を付与。 | 書き込み | |||
DeleteGroup | Identity Center がデフォルトで提供するディレクトリ AWS IAMからグループを削除する許可を付与 | 書き込み | |||
DeleteMfaDeviceForUser | 特定のユーザーのMFAデバイス名でデバイスを削除する許可を付与 | 書き込み | |||
DeleteProvisioningTenant | プロビジョニングテナントを削除する許可を付与。 | 書き込み | |||
DeleteUser | Identity Center がデフォルトで提供するディレクトリ AWS IAMからユーザーを削除する許可を付与 | 書き込み | |||
DescribeDirectory | Identity Center がデフォルトで提供するディレクトリ AWS IAMに関する情報を取得する許可を付与 | 読み取り | |||
DescribeGroup | ユーザーおよびグループメンバーを含まない、グループデータをクエリする許可を付与 | 読み取り | |||
DescribeGroups | Identity Center がデフォルトで提供するディレクトリ AWS IAMからグループに関する情報を取得する許可を付与 | 読み取り | |||
DescribeProvisioningTenant | プロビジョニングテナントを説明する許可を付与 | 読み取り | |||
DescribeUser | Identity Center がデフォルトで提供するディレクトリ AWS IAMからユーザーに関する情報を取得する許可を付与 | 読み取り | |||
DescribeUserByUniqueAttribute | ユーザーに対して表される有効な一意の属性を使用してユーザーを説明する許可を付与 | 読み取り | |||
DescribeUsers | Identity Center がデフォルトで提供するディレクトリ AWS IAMからユーザーに関する情報を取得する許可を付与 | 読み取り | |||
DisableExternalIdPConfigurationForDirectory | 外部 ID プロバイダを使用したエンドユーザーの認証を無効にする許可を付与。 | 書き込み | |||
DisableUser | Identity Center がデフォルトで提供するディレクトリ内のユーザーを非アクティブ化する AWS IAM許可を付与 | 書き込み | |||
EnableExternalIdPConfigurationForDirectory | 外部 ID プロバイダを使用したエンドユーザーの認証を有効にする許可を付与。 | 書き込み | |||
EnableUser | Identity Center がデフォルトで提供するディレクトリでユーザーをアクティブ化する AWS IAM許可を付与 | 書き込み | |||
GetAWSSPConfigurationForDirectory | ディレクトリの AWS IAM Identity Center サービスプロバイダー設定を取得する許可を付与 | 読み取り | |||
GetGroupId | Identity Center がデフォルトで提供するディレクトリからグループに関する ID AWS IAM情報を取得する許可を付与 | 読み取り | |||
GetUserId | Identity Center がデフォルトで提供するディレクトリからユーザーに関する ID AWS IAM情報を取得する許可を付与 | 読み取り | |||
GetUserPoolInfo | (非推奨) UserPool 情報を取得する許可を付与 | 読み取り | |||
ImportExternalIdPCertificate | 外部 IdP レスポンスの検証に使用される IdP 証明書をインポートする許可を付与。 | 書き込み | |||
IsMemberInGroup | メンバーが Identity Center がデフォルトで提供するディレクトリ内のグループの一部であるかどうかをチェックする AWS IAM許可を付与 | 読み取り | |||
ListBearerTokens | 特定のプロビジョニングテナントのベアラートークンを一覧表示する許可を付与。 | Read | |||
ListExternalIdPCertificates | 指定されたディレクトリと IdP の外部 IdP 証明書を一覧表示する許可を付与。 | Read | |||
ListExternalIdPConfigurationsForDirectory | ディレクトリ用に作成されたすべての外部 ID プロバイダ設定を一覧表示する許可を付与。 | 読み取り | |||
ListGroups | Identity Center がデフォルトで提供するディレクトリからグループを一覧表示する AWS IAM許可を付与 | 読み取り | |||
ListGroupsForMember | ターゲットメンバーのグループを一覧表示する許可を付与 | 読み取り | |||
ListGroupsForUser | Identity Center がデフォルトで提供するディレクトリからユーザーのグループを一覧表示する AWS IAM許可を付与 | 読み取り | |||
ListMembersInGroup | Identity Center が AWS IAMデフォルトで提供するディレクトリ内のグループの一部であるすべてのメンバーを取得する許可を付与 | 読み取り | |||
ListMfaDevicesForUser | ユーザーのすべてのアクティブなMFAデバイスとそのMFAデバイスメタデータを一覧表示する許可を付与 | 読み取り | |||
ListProvisioningTenants | 指定したディレクトリのプロビジョニングテナントを一覧表示する許可を付与。 | 読み取り | |||
ListUsers | Identity Center がデフォルトで提供するディレクトリからユーザーを一覧表示する AWS IAM許可を付与 | 読み取り | |||
RemoveMemberFromGroup | Identity Center がデフォルトで提供するディレクトリ AWS IAM内のグループの一部であるメンバーを削除する許可を付与 | 書き込み | |||
SearchGroups | 関連付けられたディレクトリ内のグループを検索する許可を付与。 | 読み込み | |||
SearchUsers | 関連付けられたディレクトリ内のユーザーを検索する許可を付与。 | Read | |||
StartVirtualMfaDeviceRegistration | 仮想 MFA デバイスの作成プロセスを開始する許可を付与。 | 書き込み | |||
StartWebAuthnDeviceRegistration | WebAuthn デバイスの登録プロセスを開始する許可を付与 | 書き込み | |||
UpdateExternalIdPConfigurationForDirectory | ディレクトリに関連付けられた外部 ID プロバイダ設定を更新する許可を付与。 | 書き込み | |||
UpdateGroup | Identity Center がデフォルトで提供するディレクトリ AWS IAM内のグループに関する情報を更新する許可を付与 | 書き込み | |||
UpdateGroupDisplayName | グループ表示名を更新し、グループ表示名レスポンスを更新する許可を付与 | 書き込み | |||
UpdateMfaDeviceForUser | MFA デバイス情報を更新する許可を付与 | 書き込み | |||
UpdatePassword | パスワードリセットリンクを E メールで送信するか、Identity Center が AWS IAMデフォルトで提供するディレクトリでユーザーのワンタイムパスワードを生成して、パスワードを更新する許可を付与 | 書き込み | |||
UpdateUser | Identity Center がデフォルトで提供するディレクトリ AWS IAM内のユーザー情報を更新する許可を付与 | 書き込み | |||
UpdateUserName | ユーザー名を更新し、ユーザー名のレスポンスを更新する許可を付与 | Write | |||
VerifyEmail | ユーザーの E メールアドレスを検証する許可を付与。 | 書き込み |
AWS IAM Identity Center ( AWS Single Sign-On の後継) ディレクトリで定義されるリソースタイプ
AWS IAM Identity Center ( AWS Single Sign-On の後継) ディレクトリは、 IAMポリシーステートメントの Resource
要素ARNでのリソースの指定をサポートしていません。 AWS IAM Identity Center ( AWS Single Sign-On の後継) ディレクトリへのアクセスを許可するには、ポリシー"Resource": "*"
で を指定します。
AWS IAM Identity Center ( AWS Single Sign-On の後継) ディレクトリの条件キー
IAM Identity Center (後継 AWS SSO) ディレクトリには、ポリシーステートメントの Condition
要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。