前提条件とアクセス許可 - AWS Resource Groupsタグとタグ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件とアクセス許可

タグポリシーへの準拠を評価する前にAWS Resource Groups要件を満たす必要があり、必要なアクセス許可を設定する必要があります。

タグポリシーへの準拠を評価するための前提条件

タグポリシーへの準拠を評価するには、次が必要です。

アカウントのコンプライアンスを評価するためのアクセス許可

アカウントのリソースで非準拠タグを検索するには、次の権限が必要です。

  • organizations:DescribeEffectivePolicy— アカウントの有効なタグポリシーの内容を取得します。

  • tag:GetResources— アタッチされたタグポリシーに準拠していないリソースのリストを取得します。

  • tag:TagResources— タグを追加または更新するには タグを作成するには、サービス固有の権限も必要です。たとえば、Amazon EC2 でリソースにタグを付けるには、ec2:CreateTags

  • tag:UnTagResources— タグを削除するには タグを削除するには、サービス固有のアクセス許可も必要です。たとえば、Amazon EC2 でリソースのタグ付けを解除するには、ec2:DeleteTags

以下の IAM ポリシーの例は、アカウントのタグコンプライアンスを評価するためのアクセス権限を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }

IAM ポリシーとアクセス許可に関する詳細については、『』を参照してください。IAM ユーザーガイド

組織全体のコンプライアンスを評価するためのアクセス許可

タグポリシーを使用して組織全体のコンプライアンスを評価するには、次の権限が必要です。

  • organizations:DescribeEffectivePolicy— 組織、OU、またはアカウントにアタッチされているタグポリシーの内容を取得します。

  • tag:GetComplianceSummary組織内のすべてのアカウントで、準拠していないリソースの概要を取得します。

  • tag:StartReportCreation最新のコンプライアンス評価の結果をファイルにエクスポートします。組織全体のコンプライアンスは 48 時間ごとに評価されます。

  • tag:DescribeReportCreation— レポート作成のステータスを確認します。

以下の IAM ポリシーの例は、組織全体のコンプライアンスを評価するためのアクセス権限を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ] }

IAM ポリシーとアクセス許可に関する詳細については、『』を参照してください。IAM ユーザーガイド

レポートを保存するための Amazon S3 バケットポリシー

組織全体のコンプライアンスレポートを作成するには、レポートストレージ用に米国東部(バージニア北部)リージョンの Amazon S3 バケットに、タグポリシーサービスプリンシパルへのアクセスを許可する必要があります。次のバケットポリシーをバケットにアタッチし、プレースホルダを実際の S3 バケット名とポリシーを適用する組織の ID 番号に置き換えます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::your-bucket-name" }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::your-bucket-name/AwsTagPolicies/your-org-id/*" } ] }