AWS Resource Explorer のアクション、リソース、および条件キー - サービス認可リファレンス
アクションリソースタイプ条件キー

AWS Resource Explorer のアクション、リソース、および条件キー

AWS Resource Explorer (サービスプレフィックス: resource-explorer-2) では、 IAM 許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Resource Explorer で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

アクションテーブルの [アクセスレベル] 列では、アクションの指定方法 (リスト、読み取り、アクセス許可管理、タグ付け) について説明します。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、「ポリシー概要内のアクセスレベル」を参照してください。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

Actions テーブルの [依存アクション] 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateDefaultView この AWS アカウント の中のこの AWS リージョン のデフォルトとして指定されたビューを設定する許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
BatchGetView ARN のリストで指定するビューに関するア詳細を取得する許可を付与 読み取り

resource-explorer-2:GetView

CreateIndex インデックスを作成することで、このオペレーションを呼び出した AWS リージョン の Resource Explorer をオンにする許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

aws:RequestTag/${TagKey}

aws:TagKeys

CreateManagedView [アクセス許可のみ] マネージドビューを作成するアクセス許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
CreateResourceExplorerSetup Resource Explorer を作成するアクセス許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
CreateStreamingAccessForService [アクセス許可のみ] Resource Explorer ストリーミングアクセスを作成するアクセス許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
CreateView ユーザーがクエリできるビューを作成する許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteIndex インデックスを削除することで、指定された AWS リージョン の Resource Explorer をオフにする許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

index*

DeleteResourceExplorerSetup Resource Explorer の設定を削除するアクセス許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
DeleteResourcePolicy [アクセス許可のみ] 指定したビューのリソースポリシーを削除する許可を付与する 権限の管理

view*

DeleteStreamingAccessForService [アクセス許可のみ] Resource Explorer のストリーミングアクセスを削除するアクセス許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
DeleteView ビューを削除する許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

view*

DisassociateDefaultView この操作を呼び出したときの AWS リージョン のデフォルトビューを削除する許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
GetAccountLevelServiceConfiguration AWS 組織内のアカウントレベルのデータにアクセスする許可を Resource Explorer に付与 読み取り
GetDefaultView この操作を呼び出したときの AWS リージョン のデフォルトであるビューの Amazon リソースネーム (ARN) を取得する許可を付与 読み取り
GetIndex この操作を呼び出したときの AWS リージョン の項目に関する情報を取得する許可を付与 読み取り
GetManagedView マネージドビューを取得するアクセス許可を付与 読み取り

managed-view*

GetResourceExplorerSetup Resource Explorer のセットアップを取得するアクセス許可を付与 読み取り
GetResourcePolicy [アクセス許可のみ] 指定されたビューのリソースポリシーに関する情報を取得する許可を付与する 読み取り

view*

GetServiceIndex サービスインデックスを取得するアクセス許可を付与 読み取り
GetServiceView サービスビューを取得するアクセス許可を付与 読み取り
GetView 指定したビューに関する情報を取得する許可を付与 読み取り

view*

ListIndexes すべての AWS リージョン の項目を一覧表示する許可を付与 リスト
ListIndexesForMembers すべての AWS リージョン 内の組織メンバーアカウントのインデックスを一覧表示する許可を付与 リスト
ListManagedViews マネージドビューを一覧表示するアクセス許可を付与 リスト
ListServiceIndexes すべての AWS リージョン のサービスインデックスを一覧表示するアクセス許可を付与 リスト
ListServiceViews すべての AWS リージョン のサービスビューを一覧表示するアクセス許可を付与 リスト
ListStreamingAccessForServices サービスのストリーミングアクセスを一覧表示するアクセス許可を付与 リスト
ListSupportedResourceTypes Resource Explorer で現在サポートされているすべてのリソースタイプのリストを取得する許可を付与 リスト
ListTagsForResource 指定されたリソースにアタッチされているタグを一覧表示する許可を付与 読み取り

index

view

ListViews この操作を呼び出すときに、AWS リージョン で使用可能なすべてのビューの Amazon リソースネーム (ARN) を一覧表示する許可を付与 リスト
PutResourcePolicy [アクセス許可のみ] 指定されたビューのリソースポリシーを更新する許可を付与する 権限の管理

view*

リソースを検索し、指定された条件に一致するすべてのリソースの詳細を表示する許可を付与 読み取り

view*

resource-explorer-2:Operation

TagResource 指定されたリソースに 1 つ以上のタグキーと値のペアを追加する許可を付与 タグ付け

index

view

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 指定したリソースに 1 つ以上のタグ (キーと値) を削除する許可を付与 タグ付け

index

view

aws:TagKeys

UpdateIndexType 項目のタイプを LOCAL から AGGREGATOR に、またはその逆に変更する許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

index*

UpdateView ビューのいくつかの詳細を変更する許可を付与 あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

view*

AWS Resource Explorer で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
view arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${ViewUuid}

aws:ResourceTag/${TagKey}

index arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${IndexUuid}

aws:ResourceTag/${TagKey}

managed-view arn:${Partition}:resource-explorer-2:${Region}:${Account}:managed-view/${ManagedViewName}/${ManagedViewUuid}

AWS Resource Explorer の条件キー

AWS Resource Explorer は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「AWSグローバル条件コンテキストキー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエストで渡されたタグキーでアクセスをフィルタリングする 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされたタグキーによりアクセスをフィルタリング 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString
resource-explorer-2:Operation 呼び出されている実際のオペレーション、以下の使用可能な値でアクセスをフィルタリングします: Search、ListResources 文字列