翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IAM Identity Center のアクション、リソース、および条件キー
AWS IAM Identity Center (サービスプレフィックス: sso) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
トピック
AWS IAM Identity Center で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
Actions テーブルの Dependent actions 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AssociateDirectory | IAM Identity Center AWS が使用するディレクトリを接続するアクセス許可を付与します | 書き込み |
ds:AuthorizeApplication identitystore:CreateIdentityStore kms:Decrypt |
||
| AssociateProfile | ディレクトリユーザーまたはグループとプロファイルとの間に関連付けを作成する許可を付与 | 書き込み |
kms:Decrypt |
||
| AttachCustomerManagedPolicyReferenceToPermissionSet | カスタマー管理ポリシーリファレンスを許可セットにアタッチする許可を付与 | 権限の管理 |
kms:Decrypt |
||
| AttachManagedPolicyToPermissionSet | AWS 管理ポリシーをアクセス許可セットにアタッチするアクセス許可を付与します | 権限の管理 |
kms:Decrypt |
||
| CreateAccountAssignment | 指定されたアクセス許可セット AWS アカウント を使用して、指定された のプリンシパルにアクセスを割り当てるアクセス許可を付与します | 書き込み |
kms:Decrypt |
||
| CreateApplication | アプリケーションを作成する許可を付与 | 書き込み |
kms:Decrypt |
||
| CreateApplicationAssignment | アプリケーション割り当てを作成する許可を付与 | 書き込み |
kms:Decrypt |
||
| CreateApplicationInstance | IAM Identity Center AWS にアプリケーションインスタンスを追加するアクセス許可を付与します | 書き込み |
kms:Decrypt |
||
| CreateApplicationInstanceCertificate | アプリケーションインスタンスに新しい証明書を追加する許可を付与 | 書き込み |
kms:Decrypt |
||
| CreateInstance | アイデンティティセンターインスタンスを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole identitystore:CreateIdentityStore organizations:DescribeOrganization |
||
| CreateInstanceAccessControlAttributeConfiguration | ABAC のインスタンスを有効にし、属性を指定する許可を付与 | 書き込み |
iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy kms:Decrypt |
||
| CreateManagedApplicationInstance | マネージドアプリケーションインスタンスを IAM Identity Center AWS に追加する許可を付与 | 書き込み |
kms:Decrypt |
||
| CreatePermissionSet | アクセス許可セットを作成する許可を付与 | 書き込み |
kms:Decrypt |
||
| CreateProfile | アプリケーションインスタンスのプロファイルを作成する許可を付与 | 書き込み |
kms:Decrypt |
||
| CreateTrust | ターゲットアカウントにフェデレーションの信頼を作成する許可を付与 | 書き込み |
kms:Decrypt |
||
| CreateTrustedTokenIssuer | インスタンスの信頼できるトークン発行元を作成する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteAccountAssignment | 指定されたアクセス許可セット AWS アカウント を使用して、指定された からプリンシパルのアクセスを削除するアクセス許可を付与します | 書き込み |
kms:Decrypt |
||
| DeleteApplication | アプリケーションを削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteApplicationAccessScope | アプリケーションへのアクセス範囲を削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteApplicationAssignment | アプリケーションの割り当てを削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteApplicationAuthenticationMethod | 認証方法を削除する許可をアプリケーションに付与 | 書き込み |
kms:Decrypt |
||
| DeleteApplicationGrant | アプリケーションから付与を削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteApplicationInstance | アプリケーションインスタンスを削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteApplicationInstanceCertificate | 非アクティブまたは期限切れの証明書をアプリケーションインスタンスから削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteInlinePolicyFromPermissionSet | 指定されたアクセス許可セットからインラインポリシーを削除するアクセス許可を付与します | 書き込み |
kms:Decrypt |
||
| DeleteInstance | アイデンティティセンターインスタンスを削除する許可を付与 | 書き込み |
identitystore:DeleteIdentityStore |
||
| DeleteInstanceAccessControlAttributeConfiguration | ABAC を無効にし、インスタンスの属性リストを削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteManagedApplicationInstance | 管理対象アプリケーションインスタンスを削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeletePermissionSet | アクセス許可セットを削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeletePermissionsBoundaryFromPermissionSet | 許可セットから許可境界を削除する許可を付与 | 権限の管理 |
kms:Decrypt |
||
| DeleteProfile | アプリケーションインスタンスのプロファイルを削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DeleteTrustedTokenIssuer | インスタンスの信頼されたトークン発行元を削除する許可を付与 | 書き込み |
kms:Decrypt |
||
| DescribeAccountAssignmentCreationStatus | 割り当て作成リクエストのステータスを記述するアクセス許可を付与します | 読み込み |
kms:Decrypt |
||
| DescribeAccountAssignmentDeletionStatus | 割り当て削除リクエストのステータスを記述するアクセス許可を付与します | 読み取り |
kms:Decrypt |
||
| DescribeApplication | アプリケーションに関する情報を取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| DescribeApplicationAssignment | アプリケーションの割り当てを取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| DescribeApplicationProvider | アプリケーションプロバイダーを記述する許可を付与 | 読み取り | |||
| DescribeInstance | アイデンティティセンターインスタンスに関する情報を取得する許可を付与 | 読み取り | |||
| DescribeInstanceAccessControlAttributeConfiguration | ABAC のインスタンスによって使用される属性のリストを取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| DescribePermissionSet | アクセス許可セットを説明する許可を付与 | 読み込み |
kms:Decrypt |
||
| DescribePermissionSetProvisioningStatus | 指定されたアクセス許可セットのプロビジョニングリクエストのステータスを記述するアクセス許可を付与します | 読み取り |
kms:Decrypt |
||
| DescribeRegisteredRegions | 組織が IAM Identity Center AWS を有効にしているリージョンを取得する許可を付与 | 読み取り | |||
| DescribeTrustedTokenIssuer | インスタンスの信頼されたトークン発行元を説明する許可を付与 | 読み取り |
kms:Decrypt |
||
| DetachCustomerManagedPolicyReferenceFromPermissionSet | カスタマー管理ポリシーリファレンスを許可セットからデタッチする許可を付与 | 権限の管理 |
kms:Decrypt |
||
| DetachManagedPolicyFromPermissionSet | 指定されたアクセス許可セットからアタッチされた AWS 管理ポリシーをデタッチするアクセス許可を付与します | 権限の管理 |
kms:Decrypt |
||
| DisassociateDirectory | IAM Identity Center AWS が使用するディレクトリの関連付けを解除するアクセス許可を付与します | 書き込み |
ds:UnauthorizeApplication identitystore:DeleteIdentityStore kms:Decrypt |
||
| DisassociateProfile | プロファイルからディレクトリユーザーまたはグループの関連付けを解除する許可を付与 | 書き込み |
kms:Decrypt |
||
| GetApplicationAccessScope | アプリケーションへのアクセス範囲を取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| GetApplicationAssignmentConfiguration | アプリケーションの割り当て設定を読み取る許可を付与 | 読み取り |
kms:Decrypt |
||
| GetApplicationAuthenticationMethod | アプリケーションに認証方法を取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| GetApplicationGrant | アプリケーションに属する付与に関する詳細を取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| GetApplicationInstance | アプリケーションインスタンスの詳細を取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| GetApplicationSessionConfiguration | アプリケーションのセッション設定を取得するアクセス許可を付与します | 読み取り |
kms:Decrypt |
||
| GetApplicationTemplate | アプリケーションテンプレートの詳細を取得する許可を付与 | 読み込み | |||
| GetInlinePolicyForPermissionSet | アクセス許可セットに割り当てられたインラインポリシーを取得するアクセス許可を付与します | 読み込み |
kms:Decrypt |
||
| GetManagedApplicationInstance | アプリケーションインスタンスの詳細を取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| GetMfaDeviceManagementForDirectory | ディレクトリの MFA デバイス管理設定を取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| GetPermissionSet | アクセス許可セットの詳細を取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| GetPermissionsBoundaryForPermissionSet | 許可セットの許可境界を取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| GetProfile | アプリケーションインスタンスのプロファイルを取得する許可を付与 | 読み取り |
kms:Decrypt |
||
| GetSSOStatus | IAM Identity Center AWS が有効になっているかどうかを確認するアクセス許可を付与します | 読み取り | |||
| GetSharedSsoConfiguration | 現在の SSO インスタンスの共有設定を取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| GetSsoConfiguration | 現在の SSO インスタンスの設定を取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| GetTrust | ターゲットアカウントでフェデレーションの信頼を取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| ImportApplicationInstanceServiceProviderMetadata | サービスプロバイダーが提供するアプリケーション SAML メタデータファイルをアップロードして、アプリケーションインスタンスを更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| ListAccountAssignmentCreationStatus | 指定された SSO インスタンス AWS アカウント の割り当て作成リクエストのステータスを一覧表示するアクセス許可を付与します | リスト |
kms:Decrypt |
||
| ListAccountAssignmentDeletionStatus | 指定された SSO インスタンス AWS アカウント の割り当て削除リクエストのステータスを一覧表示するアクセス許可を付与します | リスト |
kms:Decrypt |
||
| ListAccountAssignments | 指定されたアクセス許可セット AWS アカウント を使用して、指定された の担当者を一覧表示するアクセス許可を付与します | リスト |
kms:Decrypt |
||
| ListAccountAssignmentsForPrincipal | ユーザーまたはグループに割り当てられたアカウントを一覧表示する許可を付与 | リスト |
kms:Decrypt |
||
| ListAccountsForProvisionedPermissionSet | 指定されたアクセス許可セットがプロビジョニングされているすべての AWS アカウントを一覧表示するアクセス許可を付与します | リスト |
kms:Decrypt |
||
| ListApplicationAccessScopes | アプリケーションにアクセス範囲を一覧表示する許可を付与 | リスト |
kms:Decrypt |
||
| ListApplicationAssignments | アプリケーションの割り当てを一覧表示する許可を付与 | リスト |
kms:Decrypt |
||
| ListApplicationAssignmentsForPrincipal | ユーザーまたはグループに割り当てられたアプリケーションを一覧表示する許可を付与 | リスト |
kms:Decrypt |
||
| ListApplicationAuthenticationMethods | アプリケーションに認証方法を一覧表示する許可を付与 | リスト |
kms:Decrypt |
||
| ListApplicationGrants | アプリケーションから付与を一覧表示する許可を付与 | リスト |
kms:Decrypt |
||
| ListApplicationInstanceCertificates | 指定されたアプリケーションインスタンスのすべての証明書を取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| ListApplicationInstances | すべてのアプリケーションインスタンスを取得する許可を付与 | リスト |
kms:Decrypt sso:GetApplicationInstance |
||
| ListApplicationProviders | アプリケーションプロバイダーを一覧表示する許可を付与 | リスト | |||
| ListApplicationTemplates | サポートされているすべてのアプリケーションテンプレートを取得する許可を付与 | リスト |
sso:GetApplicationTemplate |
||
| ListApplications | IAM Identity Center のインスタンスに関連付けられているすべてのアプリケーションを取得する許可を付与 | リスト |
kms:Decrypt |
||
| ListCustomerManagedPolicyReferencesInPermissionSet | 許可セットにアタッチされているカスタマー管理ポリシーリファレンスを一覧表示する許可を付与します | リスト |
kms:Decrypt |
||
| ListDirectoryAssociations | IAM Identity Center AWS に接続されたディレクトリに関する詳細を取得するアクセス許可を付与します | 読み取り |
kms:Decrypt |
||
| ListInstances | 呼び出し元がアクセスできる SSO インスタンスを一覧表示するアクセス許可を付与します | リスト | |||
| ListManagedPoliciesInPermissionSet | 指定されたアクセス許可セットにアタッチされている AWS 管理ポリシーを一覧表示するアクセス許可を付与します | リスト |
kms:Decrypt |
||
| ListPermissionSetProvisioningStatus | 指定した SSO インスタンスに対するアクセス許可セットのプロビジョニングリクエストのステータスを一覧表示するアクセス許可を付与します | リスト |
kms:Decrypt |
||
| ListPermissionSets | すべてのアクセス許可セットを取得する許可を付与 | リスト |
kms:Decrypt |
||
| ListPermissionSetsProvisionedToAccount | 指定された にプロビジョニングされているすべてのアクセス許可セットを一覧表示するアクセス許可を付与します AWS アカウント | リスト |
kms:Decrypt |
||
| ListProfileAssociations | プロファイルに関連付けられたディレクトリユーザーまたはグループを取得する許可を付与 | 読み込み |
kms:Decrypt |
||
| ListProfiles | アプリケーションインスタンスのすべてのプロファイルを取得する許可を付与 | リスト |
kms:Decrypt sso:GetProfile |
||
| ListTagsForResource | 指定されたリソースにアタッチされているタグを一覧表示するアクセス許可を付与します | 読み取り |
kms:Decrypt |
||
| ListTrustedTokenIssuers | インスタンスの信頼されたトークン発行元を一覧表示する許可を付与 | リスト |
kms:Decrypt |
||
| ProvisionPermissionSet | 指定されたアクセス許可セットを指定されたターゲットにプロビジョニングするアクセス許可を付与します | 書き込み |
kms:Decrypt |
||
| PutApplicationAccessScope | アプリケーションへのアクセス範囲を作成または更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| PutApplicationAssignmentConfiguration | アプリケーションに割り当て設定を追加するアクセス許可を付与 | 書き込み |
kms:Decrypt |
||
| PutApplicationAuthenticationMethod | アプリケーションに認証方法を作成または更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| PutApplicationGrant | アプリケーションに付与を作成/更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| PutApplicationSessionConfiguration | アプリケーションのセッション設定を配置するアクセス許可を付与します | 書き込み |
kms:Decrypt |
||
| PutInlinePolicyToPermissionSet | IAM インラインポリシーをアクセス許可セットにアタッチするアクセス許可を付与します | 書き込み |
kms:Decrypt |
||
| PutMfaDeviceManagementForDirectory | ディレクトリの MFA デバイス管理設定を配置する許可を付与 | 書き込み |
kms:Decrypt |
||
| PutPermissionsBoundaryToPermissionSet | 許可セットに許可境界を追加する許可を付与 | 権限の管理 |
kms:Decrypt |
||
| PutPermissionsPolicy | アクセス許可セットにポリシーを追加する許可を付与 | Permissions management |
kms:Decrypt |
||
| SearchGroups | 関連付けられたディレクトリ内のグループを検索する許可を付与。 | 読み込み |
ds:DescribeDirectories kms:Decrypt |
||
| SearchUsers | 関連付けられたディレクトリ内のユーザーを検索する許可を付与。 | 読み取り |
ds:DescribeDirectories kms:Decrypt |
||
| StartSSO | IAM Identity Center AWS を初期化するアクセス許可を付与します | 書き込み |
kms:Decrypt kms:DescribeKey kms:Encrypt kms:GenerateDataKeyWithoutPlaintext organizations:DescribeOrganization organizations:EnableAWSServiceAccess |
||
| TagResource | 一連のタグを指定されたリソースに関連付けるアクセス許可を付与します | Tagging |
kms:Decrypt |
||
| UntagResource | 指定したリソースから一連のタグの関連付けを解除するアクセス許可を付与します | Tagging |
kms:Decrypt |
||
| UpdateApplication | アプリケーションを更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateApplicationInstanceActiveCertificate | このアプリケーションインスタンスのアクティブな証明書として証明書を設定する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateApplicationInstanceDisplayData | アプリケーションインスタンスの表示データを更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateApplicationInstanceResponseConfiguration | アプリケーションインスタンスのフェデレーションレスポンス設定を更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateApplicationInstanceResponseSchemaConfiguration | アプリケーションインスタンスのフェデレーションレスポンススキーマ設定を更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateApplicationInstanceSecurityConfiguration | アプリケーションインスタンスのセキュリティ詳細を更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateApplicationInstanceServiceProviderConfiguration | アプリケーションインスタンスのサービスプロバイダーに関する設定を更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateApplicationInstanceStatus | アプリケーションインスタンスのステータスを更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateInstance | アイデンティティセンターインスタンスを更新する許可を付与 | 書き込み |
identitystore:UpdateIdentityStore kms:Decrypt kms:DescribeKey kms:Encrypt kms:GenerateDataKeyWithoutPlaintext |
||
| UpdateInstanceAccessControlAttributeConfiguration | ABAC のインスタンスで使用する属性を更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateManagedApplicationInstanceStatus | 管理対象アプリケーションインスタンスのステータスを更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdatePermissionSet | アクセス許可セットを更新するアクセス許可を付与します | 権限の管理 |
kms:Decrypt |
||
| UpdateProfile | アプリケーションインスタンスのプロファイルを更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateSSOConfiguration | 現在の SSO インスタンスの設定を更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateTrust | ターゲットアカウントでフェデレーションの信頼を更新する許可を付与 | 書き込み |
kms:Decrypt |
||
| UpdateTrustedTokenIssuer | インスタンスの信頼されたトークン発行元を更新する許可を付与 | 書き込み |
kms:Decrypt |
AWS IAM Identity Center で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| PermissionSet |
arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}
|
|
| Account |
arn:${Partition}:sso:::account/${AccountId}
|
|
| Instance |
arn:${Partition}:sso:::instance/${InstanceId}
|
|
| Application |
arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}
|
|
| TrustedTokenIssuer |
arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}
|
|
| ApplicationProvider |
arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}
|
AWS IAM Identity Center の条件キー
AWS IAM Identity Center では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
| sso:ApplicationAccount | アプリケーションを作成するアカウントでアクセスをフィルタリングします。この条件キーは、カスタマーマネージド SAML アプリケーションではサポートされていません | 文字列 |
