# ポリシー概要のアクセスレベル
## AWS アクセスレベルの概要
ポリシー概要には、ポリシーに記載されている各サービスに対して定義されているアクションのアクセス許可を説明するアクセスレベルの概要が含まれています。ポリシーの概要については、[ポリシー概要](access_policies_understand.md) を参照してください。アクセスレベルの概要は、各アクセスレベル (`List`、`Read`、`Tagging`、`Write`、`Permissions management`) のアクションに、ポリシーで定義されている `Full` または `Limited` 許可が付与されているかを示します。サービス内の各アクションに割り当てられているアクセスレベルの分類を表示するには、「[AWS のサービスのアクション、リソース、および条件キー](reference_policies_actions-resources-contextkeys.html)」を参照してください。
以下の例では、特定のサービスのポリシーによって付与されるアクセス権限について説明しています。完全な JSON ポリシードキュメントおよび関連の概要の例については、[ポリシー概要の例](access_policies_policy-summary-examples.md) を参照してください。
****
| サービス | アクセスレベル | このポリシーでは、以下を提供します。 |
| --- | --- | --- |
| IAM | フル アクセス | IAM サービス内のすべてのアクションへのアクセス |
| CloudWatch | フル: リスト | List アクセスレベルのすべての CloudWatch アクションにアクセスできますが、Read、Write、または Permissions management アクセスレベル分類によるアクションへのアクセスはできません。 |
| Data Pipeline | 制限: List、Read | AWS Data Pipeline および List アクセスレベルで、少なくとも 1 つの Read アクションにアクセスできますが、すべてにアクセスすることはできません。また、Write または Permissions management アクションにはアクセスできません。 |
| EC2 | フル: List、Read 制限: Write | すべての Amazon EC2、List および Read アクションにアクセスでき、さらに Amazon EC2 Write アクションの少なくとも 1 つのアクションにアクセスできますが、すべてにはアクセスできません。また Permissions management アクセスレベル分類のアクションにはアクセスできません。 |
| S3 | Limited: Read、Write、Permissions management | 少なくとも 1 つのアクセス許可がありますが、Amazon S3 Read の Write、および Permissions management アクションのすべてではありません。 |
| codedploy | (空) | IAM によってこのサービスが認識されないため、不明なアクセスです。 |
| API ゲートウェイ | なし | ポリシーにアクセス許可が定義されていません。 |
| CodeBuild |  アクションは定義されていません。 | サービスにアクションが定義されていないためアクセス許可がありません。この問題を理解して解決する方法については、「[使用するポリシーが予期するアクセス許可を付与しない](troubleshoot_policies.md#policy-summary-not-grant-permissions)」を参照してください。 |
ポリシーの概要では、**[フルアクセス]** は、ポリシーがサービス内のすべてのアクションに対するアクセスを提供することを示します。サービス内の一部のアクションへアクセスを提供するポリシーは、アクセスレベルの分類に従ってさらにグループ化されます。これは、以下のアクセスレベルのグループ化の 1 つによって示されます。
+ **Full**: このポリシーは、指定されたアクセスレベル分類のすべてのアクションへのアクセスを許可します。
+ **Limited**: このポリシーは、指定されたアクセスレベル分類内の 1 つ以上のアクションへのアクセスを許可しますが、すべてのアクションへのアクセスを同時には許可しません。
+ **None**: このポリシーはいずれのアクセス許可も付与しません。
+ (空): IAM はこのサービスを認識しません。サービス名にタイプミスが含まれる場合、ポリシーによってサービスへのアクセスは許可されません。サービス名が正しい場合、サービスがポリシー概要をサポートしていないか、プレビュー中である可能性があります。この場合は、ポリシーによってアクセスが許可される可能性がありますが、そのアクセスがポリシー概要に表示されることはありません。一般公開された (GA) サービスに対するポリシー概要のサポートをリクエストするには、「[サービスが IAM ポリシー概要をサポートしていない](troubleshoot_policies.md#unsupported-services-actions)」を参照してください。
アクションへの制限付き(部分)アクセスを含むアクセスレベル概要は、AWS のアクセスレベル分類 `List`、`Read`、`Tagging`、`Write`、または `Permissions management` を使用してグループ化されます。
## AWS アクセスレベル
AWS は、サービスのアクションについて以下のアクセスレベル分類を定義します。
+ **List**: オブジェクトが存在するかどうかを判断するためにサービス内のリソースを一覧表示するアクセス許可。このレベルのアクセス権を持つアクションはオブジェクトをリストできますが、リソースのコンテンツは表示されません。たとえば、Amazon S3 アクション `ListBucket` には **List** アクセスレベルがあります。
+ **Read**: サービス内のリソースのコンテンツと属性を読み取るアクセス許可。ただし、編集するアクセス許可はありません。たとえば、Amazon S3 アクション `GetObject` および `GetBucketLocation` には、**読み取り**アクセスレベルがあります。
+ **Tagging**: リソースタグの状態のみを変更するアクションを実行する権限。たとえば、IAM のアクション `TagRole` および `UntagRole` は、ロールのタグ付けまたはタグ付け解除のみを許可するため、**タグ付け** アクセスレベルがあります。ただし、 `CreateRole` アクションは、ロール作成時にそのロールリソースのタグ付けを許可します。このアクションはタグの追加にとどまらないため、このアクションには `Write` アクセスレベルがあります。
+ **Write**: サービス内のリソースを作成、削除、または変更するアクセス許可。たとえば、Amazon S3 アクション`DeleteBucket`、`CreateBucket`、および `PutObject` には **Write** アクセスレベルがあります。また、`Write` アクションにより、リソースタグの変更も許可される場合もあります。ただし、タグへの変更のみを許可するアクションには `Tagging` アクセスレベルがあります。
+ **許可管理**: 許可管理とは、IAM および非 IAM ID 許可を含めた AWS のサービス内のアクセスを制御するアクションを指しますが、セキュリティグループといったネットワークレベルのアクセスコントロールは含まれません。例えば、IAM と AWS Organizations のほとんどのアクション、および Amazon S3 の `PutBucketPolicy` と `DeleteBucketPolicy` アクションには、**[許可管理]** アクセスレベルがあります。
**ヒント**
AWS アカウント のセキュリティを強化するには、**[Permissions management]** (アクセス許可の管理) アクセスレベル分類を含むポリシーを制限したり定期的にモニタリングしたりします。
サービス内の各アクションに割り当てられているアクセスレベルの分類を表示するには、「[AWS のサービスのアクション、リソース、および条件キー](reference_policies_actions-resources-contextkeys.html)」を参照してください。