AWS Service Catalog のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Service Catalog のアクション、リソース、および条件キー

AWS Service Catalog (サービスプレフィックス: servicecatalog) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Service Catalog で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN または パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptPortfolioShare 既に共有しているポートフォリオを受け入れるアクセス許可を付与 書き込み

Portfolio*

AssociateAttributeGroup 属性グループをアプリケーションに関連付けるためのアクセス権限を付与 書き込み

Application*

AttributeGroup*

AssociateBudgetWithResource 予算をリソースに関連付けるアクセス許可を付与 書き込み
AssociatePrincipalWithPortfolio IAM プリンシパルをポートフォリオに関連付けるアクセス許可を付与し、指定されたプリンシパルに、指定されたポートフォリオに関連付けられたすべての製品へのアクセスを許可します 書き込み

Portfolio*

AssociateProductWithPortfolio 製品をポートフォリオに関連付けるアクセス許可を付与 書き込み
AssociateResource リソースをアプリケーションに関連付けるためのアクセス権限を付与 書き込み

Application*

cloudformation:DescribeStacks

resource-groups:CreateGroup

resource-groups:GetGroup

resource-groups:Tag

servicecatalog:ResourceType

servicecatalog:Resource

AssociateServiceActionWithProvisioningArtifact アクションをプロビジョニングアーティファクトに関連付けるアクセス許可を付与 書き込み

Product*

AssociateTagOptionWithResource 指定された TagOption を指定されたポートフォリオまたは製品に関連付けるアクセス許可を付与します 書き込み

Portfolio

Product

BatchAssociateServiceActionWithProvisioningArtifact 複数のセルフサービスアクションをプロビジョニングアーティファクトに関連付けるアクセス許可を付与 書き込み
BatchDisassociateServiceActionFromProvisioningArtifact セルフサービスアクションのバッチを指定されたプロビジョニングアーティファクトから関連付けを解除する許可を付与 書き込み
CopyProduct 指定されたソース製品を、指定されたターゲット製品または新しい製品にコピーする許可を付与 書き込み
CreateApplication アプリケーションを作成する許可を付与 書き込み

Application*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAttributeGroup 属性グループを作成する許可を付与 書き込み

AttributeGroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConstraint 関連する製品およびポートフォリオに制約を作成する許可を付与 書き込み

Product*

CreatePortfolio ポートフォリオを作成する許可を付与 書き込み

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePortfolioShare 所有しているポートフォリオを別の と共有するためのアクセス許可を付与します AWS アカウント 権限の管理

Portfolio*

CreateProduct 製品とその製品の最初のプロビジョニングアーティファクトを作成する許可を付与 書き込み

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedProductPlan プロビジョニングされた新しい製品プランを追加する許可を付与 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

CreateProvisioningArtifact 既存の製品に新しいプロビジョニングアーティファクトを追加する許可を付与 書き込み

Product*

CreateServiceAction セルフサービスアクションを作成する許可を付与 書き込み
CreateTagOption TagOption を作成するアクセス許可を付与します 書き込み
DeleteApplication アプリケーションからすべての関連付けが削除された場合、アプリケーションを削除する許可を付与 書き込み

Application*

DeleteAttributeGroup すべての関連付けが属性グループから削除された場合、属性グループを削除する許可を付与 書き込み

AttributeGroup*

DeleteConstraint 関連する製品およびポートフォリオから既存の制約を削除する許可を付与 書き込み
DeletePortfolio すべての関連付けや共有がポートフォリオから削除されている場合は、ポートフォリオを削除する許可を付与 書き込み

Portfolio*

DeletePortfolioShare AWS アカウント 以前にポートフォリオを共有した から所有しているポートフォリオの共有を解除する許可を付与 権限の管理

Portfolio*

DeleteProduct すべての関連付けが製品から削除された場合は、製品を削除する許可を付与 書き込み

Product*

DeleteProvisionedProductPlan プロビジョニング済み製品プランを削除する許可を付与 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DeleteProvisioningArtifact 製品からプロビジョニングアーティファクトを削除する許可を付与 書き込み

Product*

DeleteResourcePolicy[アクセス許可のみ] 指定されたリソースのリソースベースのポリシーを削除する許可を付与する 書き込み

Application

AttributeGroup

DeleteServiceAction セルフサービスアクションを削除する許可を付与 書き込み
DeleteTagOption 指定された TagOption を削除するアクセス許可を付与します 書き込み
DescribeConstraint 制約を記述する許可を付与 読み込み
DescribeCopyProductStatus 指定されたコピー製品オペレーションのステータスを取得する許可を付与 読み込み
DescribePortfolio ポートフォリオを記述する許可を付与 読み込み

Portfolio*

DescribePortfolioShareStatus 指定されたポートフォリオ共有オペレーションのステータスを取得する許可を付与 読み込み
DescribePortfolioShares 指定されたポートフォリオのために作成された各ポートフォリオ共有の概要を表示する許可を付与 リスト

Portfolio*

DescribeProduct 製品をエンドユーザーとして記述する許可を付与 読み込み

Product*

DescribeProductAsAdmin 製品を管理者として記述する許可を付与 読み込み

Product*

DescribeProductView 製品をエンドユーザーとして記述する許可を付与 読み込み
DescribeProvisionedProduct プロビジョニング済み製品を記述する許可を付与 読み込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisionedProductPlan プロビジョニング済み製品プランを記述する許可を付与 読み込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisioningArtifact プロビジョニングアーティファクトを記述する許可を付与 読み込み

Product*

DescribeProvisioningParameters 指定されたプロビジョニングアーティファクトを正常にプロビジョニングするために指定する必要があるパラメータを説明する許可を付与 読み込み

Product*

DescribeRecord レコードを記述するアクセス許可を付与し、出力を一覧表示 読み込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeServiceAction セルフサービスアクションを記述する許可を付与 読み込み
DescribeServiceActionExecutionParameters 指定されたプロビジョニング済み製品に対して指定されたサービスアクションを実行した場合、デフォルトのパラメータを取得する許可を付与 読み取り

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeTagOption 指定された TagOption に関する情報を取得するアクセス許可を付与します 読み取り
DisableAWSOrganizationsAccess AWS Organizations 機能を通じてポートフォリオ共有を無効にするアクセス許可を付与します 書き込み
DisassociateAttributeGroup アプリケーションから属性グループの関連付けを解除する許可を付与 書き込み

Application*

AttributeGroup*

DisassociateBudgetFromResource リソースから予算の関連付けを解除する許可を付与 書き込み
DisassociatePrincipalFromPortfolio IAM プリンシパルとポートフォリオの関連付けを解除するアクセス許可を付与します 書き込み

Portfolio*

DisassociateProductFromPortfolio ポートフォリオから製品の関連付けを解除する許可を付与 書き込み
DisassociateResource リソースとアプリケーションとの関連付けを解除する許可を付与 書き込み

Application*

resource-groups:DeleteGroup

servicecatalog:ResourceType

servicecatalog:Resource

DisassociateServiceActionFromProvisioningArtifact 指定されたプロビジョニングアーティファクトから、指定されたセルフサービスアクションの関連付けを解除する許可を付与 書き込み

Product*

DisassociateTagOptionFromResource 指定されたリソースから指定された TagOption の関連付けを解除するアクセス許可を付与します 書き込み

Portfolio

Product

EnableAWSOrganizationsAccess AWS Organizations を通じてポートフォリオ共有機能を有効にする許可を付与 書き込み
ExecuteProvisionedProductPlan プロビジョニング済み製品プランを実行する許可を付与 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ExecuteProvisionedProductServiceAction プロビジョニング済み製品プランを実行する許可を付与 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

GetAWSOrganizationsAccessStatus AWS Organization ポートフォリオ共有機能のアクセスステータスを取得する許可を付与 読み取り
GetApplication アプリケーションを取得する許可を付与 読み込み

Application*

GetAssociatedResource アプリケーションに関連付けられたリソースに関する情報を取得する許可を付与 読み込み

Application*

servicecatalog:ResourceType

servicecatalog:Resource

GetAttributeGroup 属性グループを取得する許可を付与 読み取り

AttributeGroup*

GetConfiguration read AppRegistry 設定のアクセス許可を付与します 読み取り
GetProvisionedProductOutputs プロビジョニングされた製品 ID または名前のいずれかを使用して、プロビジョニングされた製品の出力を取得する許可を付与 読み取り
GetResourcePolicy[アクセス許可のみ] 指定されたリソースのリソースベースのポリシーを取得する許可を付与する 読み取り

Application

AttributeGroup

ImportAsProvisionedProduct プロビジョニングされた製品にリソースをインポートする許可を付与 書き込み

Product*

ListAcceptedPortfolioShares 既に共有されており、お客様が承認したポートフォリオを一覧表示する許可を付与 リスト
ListApplications アプリケーションを一覧表示する許可を付与 リスト
ListAssociatedAttributeGroups アプリケーションに関連付けられた属性グループを一覧表示する許可を付与 リスト

Application*

ListAssociatedResources アプリケーションに関連付けられたリソースを一覧表示する許可を付与 リスト

Application*

ListAttributeGroups 属性グループを一覧表示する許可を付与 リスト
ListAttributeGroupsForApplication 特定アプリケーションに関連付けられた属性グループを一覧表示する許可を付与 リスト

Application*

ListBudgetsForResource リソースに関連付けられているすべての予算を一覧表示する許可を付与 リスト
ListConstraintsForPortfolio 特定のポートフォリオに関連付けられた制約を一覧表示する許可を付与 リスト
ListLaunchPaths 特定の製品をエンドユーザーとして起動するさまざまな方法を一覧表示する許可を付与 リスト

Product*

ListOrganizationPortfolioAccess 指定されたポートフォリオにアクセスできる組織のノードを一覧表示する許可を付与 リスト
ListPortfolioAccess 特定のポートフォリオを共有した AWS アカウントを一覧表示する許可を付与 リスト

Portfolio*

ListPortfolios アカウント内のポートフォリオを一覧表示する許可を付与 リスト
ListPortfoliosForProduct 特定の製品に関連付けられたポートフォリオを一覧表示する許可を付与 リスト

Product*

ListPrincipalsForPortfolio 特定のポートフォリオに関連付けられている IAM プリンシパルを一覧表示するアクセス許可を付与します リスト

Portfolio*

ListProvisionedProductPlans プロビジョニング済み製品プランを一覧表示する許可を付与 リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListProvisioningArtifacts 特定の製品に関連付けられたプロビジョニングアーティファクトを一覧表示する許可を付与 リスト

Product*

ListProvisioningArtifactsForServiceAction 指定されたセルフサービスアクションのすべてのプロビジョニングアーティファクトを一覧表示する許可を付与 リスト
ListRecordHistory アカウントのすべてのレコード、またはプロビジョニングされた特定の製品に関連するすべてのレコードを一覧表示する許可を付与 リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListResourcesForTagOption 指定された TagOptionに関連付けられたリソースを一覧表示するアクセス許可を付与します リスト
ListServiceActions すべてのセルフサービスアクションを一覧表示する許可を付与 リスト
ListServiceActionsForProvisioningArtifact アカウント内の指定されたプロビジョニングアーティファクトに関連付けられているすべてのサービスアクションを一覧表示する許可を付与 リスト

Product*

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListStackInstancesForProvisionedProduct CFN_STACKSET タイプのプロビジョニング済み製品に関連付けられている各スタックインスタンスのアカウント、リージョン、ステータスを一覧表示するアクセス許可を付与します リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListTagOptions 指定された TagOptions または all TagOptions を一覧表示するアクセス許可を付与します リスト
ListTagsForResource サービスカタログ appregistry リソースのタグを一覧表示する許可を付与 読み取り

Application

AttributeGroup

NotifyProvisionProductEngineWorkflowResult プロビジョニングエンジンの実行結果を通知する許可を付与 書き込み
NotifyTerminateProvisionedProductEngineWorkflowResult 終了エンジンの実行結果を通知する許可を付与 書き込み
NotifyUpdateProvisionedProductEngineWorkflowResult 更新エンジンの実行結果を通知する許可を付与 書き込み
ProvisionProduct 指定されたプロビジョニングアーティファクトと起動パラメータを使用して製品をプロビジョニングする許可を付与 書き込み

Product*

PutConfiguration AppRegistry 設定を割り当てるアクセス許可を付与します 書き込み
PutResourcePolicy[アクセス許可のみ] 指定されたリソースにリソースベースのポリシーを追加する許可を付与する 書き込み

Application

AttributeGroup

RejectPortfolioShare 以前に承諾した、既に共有しているポートフォリオを拒否する許可を付与 書き込み

Portfolio*

ScanProvisionedProducts アカウント内のすべてのプロビジョニング済み製品を一覧表示する許可を付与 リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SearchProducts エンドユーザーとして利用可能な製品を一覧表示する許可を付与 リスト
SearchProductsAsAdmin アカウント内のすべての製品、または特定のポートフォリオに関連付けられているすべての製品を一覧表示する許可を付与 リスト
SearchProvisionedProducts アカウント内のすべてのプロビジョニング済み製品を一覧表示する許可を付与 リスト

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SyncResource リソースを in AppRegistry の現在の状態と同期するアクセス許可を付与します 書き込み

cloudformation:UpdateStack

TagResource サービスカタログ AppRegistry リソースをタグ付けする許可を付与 タグ付け

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

TerminateProvisionedProduct 既存のプロビジョニング済み製品を終了する許可を付与 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UntagResource サービスカタログ appregistry リソースからタグを削除する許可を付与 タグ付け

Application

AttributeGroup

aws:TagKeys

UpdateApplication 既存のアプリケーションの属性を更新する許可を付与 書き込み

Application*

iam:CreateServiceLinkedRole

UpdateAttributeGroup 既存の属性グループの属性を更新する許可を付与 書き込み

AttributeGroup*

UpdateConstraint 既存の制約のメタデータフィールドを更新する許可を付与 書き込み
UpdatePortfolio 既存のポートフォリオのメタデータフィールドまたはタグを更新する許可を付与 書き込み

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdatePortfolioShare 既存のポートフォリオ共有のためにリソース共有を有効または無効にする許可を付与 Permissions management

Portfolio*

UpdateProduct 既存の製品のメタデータフィールドまたはタグを更新する許可を付与。 書き込み

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateProvisionedProduct 既存のプロビジョニング済み製品を更新する許可を付与 書き込み

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UpdateProvisionedProductProperties 既存のプロビジョニング済み製品のプロパティを更新する許可を付与。 書き込み
UpdateProvisioningArtifact 既存のプロビジョニングアーティファクトのメタデータフィールドを更新する許可を付与 書き込み

Product*

UpdateServiceAction セルフサービスアクションを更新する許可を付与 書き込み
UpdateTagOption 指定された TagOption を更新するアクセス許可を付与します 書き込み

AWS Service Catalog で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
Application arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}

aws:ResourceTag/${TagKey}

AttributeGroup arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}

aws:ResourceTag/${TagKey}

Portfolio arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}

aws:ResourceTag/${TagKey}

Product arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}

aws:ResourceTag/${TagKey}

AWS Service Catalog の条件キー

AWS Service Catalog では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

注記

これらの条件キーを IAM ポリシーで使用する方法を示すポリシーの例については、「Service Catalog 管理者ガイド」の「プロビジョニング済み製品管理のアクセスポリシーの例」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString
servicecatalog:Resource an AppRegistry 関連リソースAPIの Resource パラメータとして指定できる値を制御して、アクセスをフィルタリングします 文字列
servicecatalog:ResourceType anWord 関連リソース ResourceType の AppRegistry パラメータとして指定できる値を制御して、アクセスをフィルタリングします API 文字列
servicecatalog:accountLevel アカウントで誰かが作成したリソースに対してアクションを表示し、実行することでアクセスをフィルタリングします。 文字列
servicecatalog:roleLevel 彼ら、または彼らと同じロールに連携するユーザーによって作成されたリソースに対して、アクションを表示し、実行することでアクセスをフィルタリング 文字列
servicecatalog:userLevel ユーザーが作成したリソースに対してのみ、アクションを表示し実行することでアクセスをフィルタリング 文字列