AWS Audit Manager のアクション、リソース、および条件キー

AWS Audit Manager (サービスプレフィックス: auditmanager) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

AWS Audit Manager で定義されるアクション
AWS Audit Manager で定義されるリソースタイプ
AWS Audit Manager の条件キー

AWS Audit Manager で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

Actions テーブルの Dependent actions 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー
AssociateAssessmentReportEvidenceFolder	AWS Audit Manager の評価レポートに証拠フォルダを関連付ける許可を付与	書き込み	assessment*
BatchAssociateAssessmentReportEvidence	AWS Audit Manager の評価レポートに証拠のリストを関連付ける許可を付与	書き込み	assessment*
BatchCreateDelegationByAssessment	AWS Audit Manager で評価の委任を作成する許可を付与	書き込み	assessment*
BatchCreateDelegationByAssessment	AWS Audit Manager で評価の委任を作成する許可を付与	書き込み	assessmentControlSet*
BatchDeleteDelegationByAssessment	AWS Audit Manager で評価の委任を削除する許可を付与	書き込み	assessment*
BatchDeleteDelegationByAssessment	AWS Audit Manager で評価の委任を削除する許可を付与	書き込み	assessmentControlSet*
BatchDisassociateAssessmentReportEvidence	AWS Audit Manager の評価レポートから証拠のリストの関連付けを解除する許可を付与	書き込み	assessment*
BatchImportEvidenceToAssessmentControl	AWS Audit Manager の評価コントロールに証拠のリストをインポートするアクセス許可を付与します	書き込み	assessmentControlSet*
CreateAssessment	AWS Audit Manager で使用する評価を作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
CreateAssessmentFramework	AWS Audit Manager で使用するフレームワークを作成する許可を付与	書き込み	control*
CreateAssessmentFramework	AWS Audit Manager で使用するフレームワークを作成する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
CreateAssessmentReport	AWS Audit Manager で評価レポートを作成するアクセス許可を付与します	書き込み	assessment*
CreateControl	AWS Audit Manager で使用するコントロールを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
DeleteAssessment	AWS Audit Manager で評価を削除するアクセス許可を付与します	書き込み	assessment*
DeleteAssessment	AWS Audit Manager で評価を削除するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAssessmentFramework	AWS Audit Manager で評価フレームワークを削除するアクセス許可を付与します	書き込み	assessmentFramework*
DeleteAssessmentFramework	AWS Audit Manager で評価フレームワークを削除するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAssessmentFrameworkShare	AWS Audit Manager でカスタムフレームワークの共有リクエストを削除する許可を付与	書き込み
DeleteAssessmentReport	AWS Audit Manager で評価レポートを削除する許可を付与	書き込み	assessment*
DeleteControl	AWS Audit Manager でコントロールを削除する許可を付与	書き込み	control*
DeleteControl	AWS Audit Manager でコントロールを削除する許可を付与	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
DeregisterAccount	AWS Audit Manager でアカウントを登録解除するアクセス許可を付与します	書き込み
DeregisterOrganizationAdminAccount	AWS Audit Manager の委任管理者アカウントの登録を解除する許可を付与	書き込み
DisassociateAssessmentReportEvidenceFolder	AWS Audit Manager の評価レポートから証拠フォルダの関連付けを解除する許可を付与	書き込み	assessment*
GetAccountStatus	AWS Audit Manager でアカウントのステータスを取得する許可を付与	読み取り
GetAssessment	AWS Audit Manager で作成された評価を取得する許可を付与	読み取り	assessment*
GetAssessmentFramework	AWS Audit Manager で評価フレームワークを取得する許可を付与	読み取り	assessmentFramework*
GetAssessmentReportUrl	AWS Audit Manager で評価レポートの URL を取得する許可を付与	読み取り	assessment*
GetChangeLogs	AWS Audit Manager で評価の変更ログを取得する許可を付与	読み取り	assessment*
GetControl	AWS Audit Manager でコントロールを取得する許可を付与	読み取り	control*
GetDelegations	AWS Audit Manager ですべての委任を取得するアクセス許可を付与します	リスト
GetEvidence	AWS Audit Manager から証拠を取得する許可を付与	読み取り	assessmentControlSet*
GetEvidenceByEvidenceFolder	AWS Audit Manager の証拠フォルダからすべての証拠を取得する許可を付与	読み取り	assessmentControlSet*
GetEvidenceFileUploadUrl	手作業による証拠としてファイルをアップロードするために使用できる、署名済みの Amazon S3 URL を取得する許可を付与します	読み取り
GetEvidenceFolder	AWS Audit Manager から証拠フォルダを取得する許可を付与	読み取り	assessmentControlSet*
GetEvidenceFoldersByAssessment	AWS Audit Manager の評価から証拠フォルダを取得する許可を付与	読み取り	assessment*
GetEvidenceFoldersByAssessmentControl	AWS Audit Manager の評価コントロールから証拠フォルダを取得する許可を付与	読み取り	assessmentControlSet*
GetInsights	アクティブなすべての評価の分析データを取得するアクセス許可を付与します。	読み取り
GetInsightsByAssessment	特定のアクティブな評価の分析データを取得するアクセス許可を付与します。	読み取り
GetOrganizationAdminAccount	AWS Audit Manager で委任管理者アカウントを取得する許可を付与	読み取り
GetServicesInScope	AWS Audit Manager で評価の対象となるサービスを取得する許可を付与	読み取り
GetSettings	AWS Audit Manager で設定されたすべての設定を取得する許可を付与	読み取り
ListAssessmentControlInsightsByControlDomain	特定のコントロールドメインおよびアクティブアセスメント内のコントロールの分析データを一覧表示する権限を付与します。	リスト
ListAssessmentFrameworkShareRequests	AWS Audit Manager のカスタムフレームワークの送受信されたすべての共有リクエストを一覧表示するアクセス許可を付与します	リスト
ListAssessmentFrameworks	AWS Audit Manager のすべての評価フレームワークを一覧表示するアクセス許可を付与します	リスト
ListAssessmentReports	AWS Audit Manager ですべての評価レポートを一覧表示するアクセス許可を付与します	リスト
ListAssessments	AWS Audit Manager ですべての評価を一覧表示するアクセス許可を付与します	リスト
ListControlDomainInsights	すべてのアクティブな評価でコントロールドメインの分析データを一覧表示する権限を付与します。	リスト
ListControlDomainInsightsByAssessment	特定のアクティブな評価でコントロールドメインの分析データを一覧表示する権限を付与します。	リスト
ListControlInsightsByControlDomain	すべてのアクティブな評価で、特定のコントロールドメイン内のコントロールの分析データを一覧表示する権限を付与します。	リスト
ListControls	AWS Audit Manager 内のすべてのコントロールを一覧表示するアクセス許可を付与します	リスト
ListKeywordsForDataSource	AWS Audit Manager のすべてのデータソースキーワードを一覧表示する許可を付与	リスト
ListNotifications	AWS Audit Manager ですべての通知を一覧表示するアクセス許可を付与します	リスト
ListTagsForResource	AWS Audit Manager リソースのタグを一覧表示する許可を付与	読み取り	assessment
ListTagsForResource	AWS Audit Manager リソースのタグを一覧表示する許可を付与	読み取り	control
RegisterAccount	AWS Audit Manager にアカウントを登録する許可を付与	書き込み
RegisterOrganizationAdminAccount	AWS Audit Manager の委任管理者として組織内のアカウントを登録する許可を付与	書き込み
StartAssessmentFrameworkShare	AWS Audit Manager でカスタムフレームワークの共有リクエストを作成する許可を付与	書き込み	assessmentFramework*
TagResource	AWS Audit Manager リソースにタグを付けるアクセス許可を付与します	Tagging	assessment
			assessmentFramework
			control
				aws:TagKeys aws:RequestTag/${TagKey}
UntagResource	AWS Audit Manager リソースのタグを解除するアクセス許可を付与します	Tagging	assessment	aws:ResourceTag/${TagKey}
			assessmentFramework	aws:ResourceTag/${TagKey}
			control	aws:ResourceTag/${TagKey}
				aws:TagKeys
UpdateAssessment	AWS Audit Manager で評価を更新する許可を付与	書き込み	assessment*
UpdateAssessmentControl	AWS Audit Manager で評価コントロールを更新する許可を付与	書き込み	assessmentControlSet*
UpdateAssessmentControlSetStatus	AWS Audit Manager の評価コントロールセットのステータスを更新する許可を付与	書き込み	assessmentControlSet*
UpdateAssessmentFramework	AWS Audit Manager で評価フレームワークを更新する許可を付与	書き込み	assessmentFramework*
UpdateAssessmentFramework	AWS Audit Manager で評価フレームワークを更新する許可を付与	書き込み	control*
UpdateAssessmentFrameworkShare	AWS Audit Manager でカスタムフレームワークの共有リクエストを更新する許可を付与	書き込み	assessmentFramework*
UpdateAssessmentStatus	AWS Audit Manager で評価のステータスを更新する許可を付与	書き込み	assessment*
UpdateControl	AWS Audit Manager でコントロールを更新する許可を付与	書き込み	control*
UpdateSettings	AWS Audit Manager の設定を更新する許可を付与	書き込み
ValidateAssessmentReportIntegrity	AWS Audit Manager で評価レポートの整合性を検証するアクセス許可を付与します	読み取り

AWS Audit Manager で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
assessment	`arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${AssessmentId}`	aws:ResourceTag/${TagKey}
assessmentFramework	`arn:${Partition}:auditmanager:${Region}:${Account}:assessmentFramework/${AssessmentFrameworkId}`	aws:ResourceTag/${TagKey}
assessmentControlSet	`arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${AssessmentId}/controlSet/${ControlSetId}`
control	`arn:${Partition}:auditmanager:${Region}:${Account}:control/${ControlId}`	aws:ResourceTag/${TagKey}

AWS Audit Manager の条件キー

AWS Audit Manager は、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエストで渡されたタグでアクセスをフィルタリングします	文字列
aws:ResourceTag/${TagKey}	リソースに関連付けられたタグでアクセスをフィルタリングします	文字列
aws:TagKeys	リクエストで渡されたタグキーでアクセスをフィルタリングします	ArrayOfString

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Athena

Amazon Aurora DSQL