Amazon Web Servicesアダプタ IAMアクセス権限

Amazon Web Servicesアダプタを使用する際に、各Amazon Web Servicesのサービスへの接続に使用するアカウントに対して、適切な権限が必要になります。
各アダプタの機能別に必要になるIAMアクセス権限については、以下を参照してください。

Amazon DynamoDBアダプタ

Amazon DynamoDBアダプタが必要とするIAMアクセス権限は以下の通りです。

グローバルリソース

アクション名 備考
dynamodb:ListTables
  • [接続テスト]の実行時に必要になります。

オペレーション

項目取得(スキャン)

アクション名 備考
dynamodb:ListTables
  • [テーブル名一覧の更新]の実行時に必要になります。
dynamodb:DescribeTable
  • [インデックス名一覧の更新]の実行時と、[スキーマ定義の更新]の実行時に必要になります。
dynamodb:Scan  

項目取得(クエリ)

アクション名 備考
dynamodb:ListTables
  • [テーブル名一覧の更新]の実行時に必要になります。
dynamodb:DescribeTable
  • [インデックス名一覧の更新]の実行時と、[属性一覧の更新]の実行時に必要になります。
dynamodb:Scan
  • [属性一覧の更新]の実行時に必要になります。
dynamodb:Query  

項目追加/置換

アクション名 備考
dynamodb:ListTables
  • [テーブル名一覧の更新]の実行時に必要になります。
dynamodb:DescribeTable
  • [属性一覧の更新]の実行時に必要になります。
dynamodb:Scan
  • [属性一覧の更新]の実行時に必要になります。
dynamodb:PutItem  

項目削除

アクション名 備考
dynamodb:ListTables
  • [テーブル名一覧の更新]の実行時に必要になります。
dynamodb:DescribeTable
  • [プライマリキー一覧の更新]の実行時に必要になります。
dynamodb:Scan
  • [プライマリキー一覧の更新]の実行時に必要になります。
dynamodb:DeleteItem  

Amazon EC2アダプタ

Amazon EC2アダプタが必要とするIAMアクセス権限は以下の通りです。

グローバルリソース

アクション名 備考
ec2:DescribeAvailabilityZones
  • [接続テスト]の実行時に必要になります。

オペレーション

インスタンス起動

アクション名 備考
ec2:DescribeAddresses
  • [インスタンス一覧]のリスト取得時に必要になります。
ec2:DescribeInstances  
ec2:StartInstances  

インスタンス停止

アクション名 備考
ec2:DescribeInstances  
ec2:StopInstances  

インスタンス情報取得

アクション名 備考
ec2:DescribeImages  
ec2:DescribeInstances  

Amazon S3アダプタ

Amazon S3アダプタが必要とするIAMアクセス権限は以下の通りです。

グローバルリソース

アクション名 備考
s3:ListAllMyBuckets
  • [接続テスト]の実行時に必要になります。

オペレーション

Bucket一覧取得

アクション名 備考
s3:ListBucket
  • 使用可能なResourceに対象Bucketが含まれている必要があります。
s3:ListAllMyBuckets  

ファイル/フォルダ一覧取得

アクション名 備考
s3:GetObjectAcl  
s3:ListBucket
  • 使用可能なResourceに対象Bucketが含まれている必要があります。
s3:ListAllMyBuckets  

ファイル/フォルダ読み取り

アクション名 備考
s3:GetObject  
s3:GetObjectAcl
  • [アクセス権の情報を結果に含める]にチェックを入れた場合、必要になります。
s3:ListBucket
  • 使用可能なResourceに対象Bucketが含まれている必要があります。
s3:ListAllMyBuckets  

ファイル/フォルダ書き込み

アクション名 備考
s3:PutObject  
s3:GetObjectAcl
  • [アクセス権の情報を結果に含める]にチェックを入れた場合、必要になります。
s3:PutObjectAcl
  • [アクセス権]で「公開」を選択した場合、必要になります。
s3:CreateBucket
  • [Bucketが存在しない場合は作成する]にチェックを入れた場合、必要になります。
s3:ListBucket
  • 使用可能なResourceに対象Bucketが含まれている必要があります。
s3:ListAllMyBuckets  

ファイル/フォルダ削除

アクション名 備考
s3:GetObject  
s3:DeleteObject  
s3:DeleteBucket
  • [Bucketを削除する]にチェックを入れた場合、必要になります。
s3:ListBucket
  • 使用可能なResourceに対象Bucketが含まれている必要があります。
s3:ListAllMyBuckets  

データ読み取り

アクション名 備考
s3:GetObject  
s3:GetObjectAcl
  • [アクセス権の情報を結果に含める]にチェックを入れた場合、必要になります。
s3:ListAllMyBuckets  

データ書き込み

アクション名 備考
s3:PutObject  
s3:GetObjectAcl
  • [アクセス権の情報を結果に含める]にチェックを入れた場合、必要になります。
s3:CreateBucket
  • [Bucketが存在しない場合は作成する]にチェックを入れた場合、必要になります。
s3:ListBucket
  • 使用可能なResourceに対象Bucketが含まれている必要があります。
s3:ListAllMyBuckets  

Amazon SQSアダプタ

Amazon SQSアダプタが必要とするIAMアクセス権限は以下の通りです。

グローバルリソース

アクション名 備考
sqs:ListQueues
  • [接続テスト]の実行時に必要になります。

オペレーション

メッセージ受信

アクション名 備考
sqs:GetQueueUrl  
sqs:ReceiveMessage  

メッセージ送信

アクション名 備考
sqs:GetQueueUrl  
sqs:ListQueues
  • [キュー名]のリスト取得時に必要になります。
sqs:SendMessage  

メッセージ削除

アクション名 備考
sqs:DeleteMessage  
sqs:GetQueueUrl  
sqs:ListQueues
  • [キュー名]のリスト取得時に必要になります。

Amazon SimpleDBアダプタ

Amazon SimpleDBアダプタが必要とするIAMアクセス権限は以下の通りです。

グローバルリソース

アクション名 備考
sdb:ListDomains
  • [接続テスト]の実行時に必要になります。

オペレーション

アイテム読み取り

アクション名 備考
sdb:ListDomains  
sdb:Select  

クエリ実行

アクション名 備考
sdb:ListDomains  
sdb:Select  

アイテム書き込み

アクション名 備考
sdb:BatchPutAttributes  
sdb:ListDomains
  • [ドメイン名]のリスト取得時に必要になります。

アイテム削除

アクション名 備考
sdb:BatchDeleteAttributes  
sdb:ListDomains
  • [ドメイン名]のリスト取得時に必要になります。

ドメイン作成

アクション名 備考
sdb:CreateDomain  
sdb:ListDomains  

ドメイン削除

アクション名 備考
sdb:DeleteDomain  
sdb:ListDomains  

Amazon Redshiftアダプタ

Amazon Redshiftアダプタが使用するCOPYコマンドの仕様として必要となるアクセス権限については、「Amazon Redshiftドキュメント-開発者ガイド(日本語)- COPY」(http://docs.aws.amazon.com/ja_jp/redshift/latest/dg/r_COPY.html)を参照してください。

AWS Lambdaアダプタ

AWS Lambdaアダプタが必要とするIAMアクセス権限は以下の通りです。

グローバルリソース

アクション名 備考
lambda:ListFunctions
  • [接続テスト]の実行時に必要になります。

オペレーション

Lambda関数呼び出し

アクション名 備考
lambda:GetFunctionConfiguration  
lambda:InvokeFunction  
lambda:ListAliases
  • [別名]のリスト取得時に必要になります。
lambda:ListFunctions
  • [関数名]のリスト取得時に必要になります。
lambda:ListVersionsByFunction
  • [バージョン]のリスト取得時に必要になります。

ScriptRunner for Amazon SQS

ScriptRunner for Amazon SQSが必要とするIAMアクセス権限は以下の通りです。

ScriptRunner for Amazon SQS設定

アクション名 備考
sqs:GetQueueUrl
  • [接続テスト]の実行時に必要になります。

ScriptRunner for Amazon SQSマネージャ

アクション名 備考
sqs:GetQueueUrl
  • スクリプト実行要求格納キュー・スクリプト実行結果格納キューに対して必要になります。
sqs:ReceiveMessage
  • スクリプト実行要求格納キューに対して必要になります。
sqs:SendMessage
  • スクリプト実行結果格納キューに対して必要になります。
sqs:DeleteMessage
  • スクリプト実行要求格納キューに対して必要になります。

ScriptRunner AmazonSQSクライアント

アクション名 備考
sqs:GetQueueUrl
  • スクリプト実行要求格納キュー・スクリプト実行結果格納キューに対して必要になります。
sqs:ReceiveMessage
  • スクリプト実行結果格納キューに対して必要になります。
sqs:SendMessage
  • スクリプト実行要求格納キューに対して必要になります。
sqs:DeleteMessage
  • スクリプト実行結果格納キューに対して必要になります。

Amazon Kinesisトリガー

Amazon Kinesisトリガーが使用に必要となるアクセス権限については、「Amazon Kinesis Client Library を使用した Amazon Kinesis コンシューマーの開発」(http://docs.aws.amazon.com/ja_jp/kinesis/latest/dev/developing-consumers-with-kcl.html)を参照してください。