AWS Direct Connect のアクション、リソース、および条件キー

AWS Direct Connect (サービスプレフィックス: directconnect) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

AWS Direct Connect で定義されるアクション
AWS Direct Connect で定義されるリソースタイプ
AWS Direct Connect の条件キー

AWS Direct Connect で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

Actions テーブルの Dependent Actions 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー
AcceptDirectConnectGatewayAssociationProposal	仮想プライベートゲートウェイを Direct Connect ゲートウェイにアタッチするための提案リクエストを受け入れる許可を付与	書き込み	dx-gateway*
AllocateConnectionOnInterconnect	相互接続上にホスト接続を作成するアクセス許可を付与	書き込み	dxcon*
AllocateHostedConnection	AWS Direct Connect パートナーのネットワークと特定の AWS Direct Connect ロケーションの間に新しいホスト接続を作成するアクセス許可を付与します	書き込み	dxcon
			dxlag
				aws:RequestTag/${TagKey} aws:TagKeys
AllocatePrivateVirtualInterface	別の顧客が所有できるようにプライベート仮想インターフェイスをプロビジョニングする許可を付与	書き込み	dxcon
			dxlag
				aws:RequestTag/${TagKey} aws:TagKeys
AllocatePublicVirtualInterface	別の顧客が所有できるようにパブリック仮想インターフェイスをプロビジョニングする許可を付与	書き込み	dxcon
			dxlag
				aws:RequestTag/${TagKey} aws:TagKeys
AllocateTransitVirtualInterface	別の顧客が所有できるようにトランジット仮想インターフェイスをプロビジョニングする許可を付与	書き込み	dxcon
			dxlag
				aws:RequestTag/${TagKey} aws:TagKeys
AssociateConnectionWithLag	コネクションをLink Aggregation Group（LAG）に関連付ける許可を付与	書き込み	dxcon*
AssociateConnectionWithLag	コネクションをLink Aggregation Group（LAG）に関連付ける許可を付与	書き込み	dxlag*
AssociateHostedConnection	ホスト接続およびその仮想インターフェイスを Link Aggregation Group (LAG) または相互接続に関連付ける許可を付与	書き込み	dxcon*
			dxcon
			dxlag
AssociateMacSecKey	MAC セキュリティ (MACsec) 接続キーネーム (CKN)/接続関連付けキー (CAK) ペアを AWS Direct Connect 専用接続に関連付けるアクセス許可を付与します	書き込み	dxcon
AssociateMacSecKey		書き込み	dxlag
AssociateVirtualInterface	仮想インターフェイスを、指定された Link Aggregation Group (LAG) もしくは接続と関連付ける許可を付与	書き込み	dxvif*
			dxcon
			dxlag
ConfirmConnection	相互接続上にホスト接続が作成されていることを確認する許可を付与	書き込み	dxcon*
ConfirmCustomerAgreement	接続もしくは Link Aggregation Group (LAG) を作成するときに、契約条件を確認するアクセス許可を付与	書き込み
ConfirmPrivateVirtualInterface	別の顧客が作成したプライベート仮想インターフェイスの所有権を受け入れる許可を付与	書き込み	dxvif*
ConfirmPublicVirtualInterface	別の顧客が作成したパブリック仮想インターフェイスの所有権を受け入れる許可を付与	書き込み	dxvif*
ConfirmTransitVirtualInterface	別の顧客が作成したトランジット仮想インターフェイスの所有権を受け入れる許可を付与	書き込み	dxvif*
CreateBGPPeer	指定された仮想インターフェイスで BGP ピアを作成する許可を付与	書き込み	dxvif*
CreateConnection	カスタマーネットワークと特定の AWS Direct Connect ロケーションの間に新しい接続を作成するアクセス許可を付与します	書き込み	dxlag
CreateConnection		書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateDirectConnectGateway	Direct Connect ゲートウェイを作成する許可を付与これは、一連の仮想インターフェイスおよび仮想プライベートゲートウェイを接続できるようにする中間オブジェクトです。	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateDirectConnectGatewayAssociation	Direct Connect ゲートウェイおよび仮想プライベートゲートウェイ間の関連付けを作成する許可を付与	書き込み	dx-gateway*
CreateDirectConnectGatewayAssociationProposal	指定された仮想プライベートゲートウェイを、指定された Direct Connect ゲートウェイに関連付けるための提案を作成する許可を付与	書き込み	dx-gateway*
CreateInterconnect	AWS Direct Connect パートナーのネットワークと特定の AWS Direct Connect ロケーションの間に新しい相互接続を作成するアクセス許可を付与します	書き込み	dxlag
CreateInterconnect		書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateLag	カスタマーネットワークと特定の AWS Direct Connect ロケーションとの間で、指定された数のバンドルされた物理接続を持つリンク集約グループ (LAG) を作成するアクセス許可を付与します	書き込み	dxcon
CreateLag		書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreatePrivateVirtualInterface	新しい仮想プライベートゲートウェイを作成する許可を付与	書き込み	dxcon
			dxlag
				aws:RequestTag/${TagKey} aws:TagKeys
CreatePublicVirtualInterface	新しいパブリック仮想インターフェイスを作成するアクセス許可を付与」	書き込み	dxcon
			dxlag
				aws:RequestTag/${TagKey} aws:TagKeys
CreateTransitVirtualInterface	新しい中継仮想インターフェイスを作成するアクセス許可を付与	書き込み	dxcon
			dxlag
				aws:RequestTag/${TagKey} aws:TagKeys
DeleteBGPPeer	指定されたカスタマーアドレスおよび ASN を持つ、指定された仮想インターフェイス上の指定された BGP ピアを削除しまする許可を付与	書き込み	dxvif*
DeleteConnection	接続を削除する許可を付与	書き込み	dxcon*
DeleteDirectConnectGateway	指定された Direct Connect gatewayの記録設定を削除する許可を付与	書き込み	dx-gateway*
DeleteDirectConnectGatewayAssociation	指定されたDirect Connect ゲートウェイおよび仮想プライベートゲートウェイ間の関連付けを削除する許可を付与	書き込み	dx-gateway*
DeleteDirectConnectGatewayAssociationProposal	指定されたDirect Connect ゲートウェイおよび仮想プライベートゲートウェイ間の関連付け提案リクエストを削除する許可を付与	書き込み
DeleteInterconnect	指定されたインターコネクトを削除するアクセス許可を付与	書き込み	dxcon*
DeleteLag	指定された Link Aggregation Group (LAG)を削除するアクセス許可を付与	書き込み	dxlag*
DeleteVirtualInterface	仮想インターフェースを削除するアクセス許可を付与	書き込み	dxvif*
DescribeConnectionLoa	接続の LOA-CFA を記述するアクセス許可を付与	読み取り	dxcon*
DescribeConnections	このリージョンで設定されたすべての接続を記述するアクセス許可を付与	読み取り	dxcon
DescribeConnectionsOnInterconnect	指定された相互接続でプロビジョニングされている接続のリストを記述をする許可を付与	読み取り	dxcon*
DescribeCustomerMetadata	顧客契約のリスト、署名済みステータス、およびお客様がNniPartner、NniPartnerv2、または非パートナーのいずれであるかを表示するアクセス許可を付与	読み取り
DescribeDirectConnectGatewayAssociationProposals	仮想プライベートゲートウェイおよび Direct Connect ゲートウェイ間の接続に関する 1 つ以上の関連付け提案の記述する許可を付与	読み取り	dx-gateway
DescribeDirectConnectGatewayAssociations	Direct Connect ゲートウェイおよび仮想プライベートゲートウェイの間の関連付けを記述する許可を付与	読み取り	dx-gateway
DescribeDirectConnectGatewayAttachments	Direct Connect ゲートウェイおよび仮想インターフェイス間のアタッチメントを記述する許可を付与	読み取り	dx-gateway
DescribeDirectConnectGateways	すべての Direct Connect ゲートウェイ、もしくは指定された Direct Connect ゲートウェイのみを記述する許可を付与	読み取り	dx-gateway
DescribeHostedConnections	指定された相互接続もしくは Link Aggregation Group (LAG) でプロビジョニングされているホスト接続を記述する許可を付与	読み取り	dxcon
DescribeHostedConnections		読み取り	dxlag
DescribeInterconnectLoa	相互接続の LOA-CFA を記述するアクセス許可を付与	読み取り	dxcon*
DescribeInterconnects	が所有する相互接続のリストを記述するアクセス許可を付与します AWS アカウント	読み取り	dxcon
DescribeLags	すべての Link Aggregation Group (LAG) もしくは指定された LAG を記述するアクセス許可を付与	読み取り	dxlag
DescribeLoa	接続、相互接続、もしくはLink Aggregation Group (LAG) の LOA-CFA を記述するアクセス許可を付与	読み取り	dxcon
DescribeLoa		読み取り	dxlag
DescribeLocations	現在の AWS リージョンの AWS Direct Connect ロケーションのリストを記述するアクセス許可を付与します	読み取り
DescribeRouterConfiguration	仮想インターフェイスのルータの詳細を説明するアクセス許可を付与	読み取り	dxvif*
DescribeTags	指定された AWS Direct Connect リソースに関連付けられたタグを記述するアクセス許可を付与します	読み取り	dx-gateway
			dxcon
			dxlag
			dxvif
DescribeVirtualGateways	が所有する仮想プライベートゲートウェイのリストを記述するアクセス許可を付与します AWS アカウント	読み取り
DescribeVirtualInterfaces	のすべての仮想インターフェイスを記述するアクセス許可を付与します AWS アカウント	読み取り	dxcon
			dxlag
			dxvif
DisassociateConnectionFromLag	Link Aggation Group (LAG) からの接続の関連付けを解除するアクセス許可を付与	書き込み	dxcon*
DisassociateConnectionFromLag	Link Aggation Group (LAG) からの接続の関連付けを解除するアクセス許可を付与	書き込み	dxlag*
DisassociateMacSecKey	MAC Security (MACsec) セキュリティキーと AWS Direct Connect 専用接続間の関連付けを削除するアクセス許可を付与します	書き込み	dxcon
DisassociateMacSecKey		書き込み	dxlag
ListVirtualInterfaceTestHistory	仮想インターフェイスのフェイルオーバーテスト履歴を一覧表示する許可を付与	リスト	dxvif*
StartBgpFailoverTest	BGP ピアリングセッションを DOWN 状態にして、設定が回復性要件を満たしていることを確認する仮想インターフェイスのフェイルオーバーテストを開始する許可を付与トラフィックを送信して、サービス停止が起こらないことを確認できます。	書き込み	dxvif*
StopBgpFailoverTest	仮想インターフェイスのフェイルオーバーテストを停止するアクセス許可を付与	書き込み	dxvif*
TagResource	指定された AWS Direct Connect リソースに指定されたタグを追加するアクセス許可を付与します。各リソースには、最大 50 個のタグを設定できます。	Tagging	dx-gateway
			dxcon
			dxlag
			dxvif
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	指定された AWS Direct Connect リソースから 1 つ以上のタグを削除するアクセス許可を付与します	Tagging	dx-gateway
			dxcon
			dxlag
			dxvif
				aws:TagKeys
UpdateConnection	AWS Direct Connect 専用接続設定を更新するアクセス許可を付与します。接続について、次のパラメータを更新できます。接続名または接続の MAC セキュリティ (MACsec) 暗号化モード	書き込み	dxcon*
UpdateDirectConnectGateway	Direct Connect ゲートウェイの名前を更新するアクセス許可を付与	書き込み	dx-gateway*
UpdateDirectConnectGatewayAssociation	Direct Connect ゲートウェイの関連付けの指定された属性を更新する許可を付与	書き込み
UpdateLag	指定された Link Aggregation Group (LAG) の属性を更新する許可を付与	書き込み	dxlag*
UpdateVirtualInterfaceAttributes	指定された仮想プライベートインターフェースの指定された属性を更新する許可を付与	書き込み	dxvif*

AWS Direct Connect で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
dxcon	`arn:${Partition}:directconnect:${Region}:${Account}:dxcon/${ConnectionId}`	aws:ResourceTag/${TagKey}
dxlag	`arn:${Partition}:directconnect:${Region}:${Account}:dxlag/${LagId}`	aws:ResourceTag/${TagKey}
dxvif	`arn:${Partition}:directconnect:${Region}:${Account}:dxvif/${VirtualInterfaceId}`	aws:ResourceTag/${TagKey}
dx-gateway	`arn:${Partition}:directconnect::${Account}:dx-gateway/${DirectConnectGatewayId}`	aws:ResourceTag/${TagKey}

AWS Direct Connect の条件キー

AWS Direct Connect では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。

条件キー	説明	[Type] (タイプ)
aws:RequestTag/${TagKey}	リクエスト内のタグキーおよび値のペアのプレゼンスに基づいてアクセスをフィルタリングします	文字列
aws:ResourceTag/${TagKey}	リソースにアタッチされているタグキーおよび値のペアに基づいてアクセスをフィルタリングします	文字列
aws:TagKeys	リクエスト内のタグキーのプレゼンスに基づいたアクションでアクセスをフィルタリングします	ArrayOfString

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS 診断ツール

AWS ディレクトリサービス