リソース作成時にタグ付けするアクセス許可の付与 - Amazon Elastic Compute Cloud
特定のタグへのアクセスの制御

リソース作成時にタグ付けするアクセス許可の付与

一部のリソース作成 Amazon EC2 API アクションでは、リソースの作成時にタグを指定できます。リソースタグを使用して、属性ベースの制御 (ABAC) を実装できます。詳細については、リソースのタグ付けおよびリソースタグを使用した EC2 リソースへのアクセスの制御を参照してください。

ユーザーがリソースの作成時にタグを付けるには、リソースを作成するアクション (ec2:RunInstancesec2:CreateVolume など) を使用するためのアクセス許可が必要です。タグがリソース作成アクションで指定されている場合、Amazon は ec2:CreateTags アクションで追加の認可を実行してユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。そのため、ユーザーには、ec2:CreateTags アクションを使用する明示的なアクセス権限が必要です。

ec2:CreateTags アクションの IAM ポリシー定義で、Condition 要素と ec2:CreateAction 条件キーを使用して、リソースを作成するアクションにタグ付けのアクセス許可を付与します。

次のポリシー例では、インスタンスを起動し、起動時にインスタンスとボリュームにタグを適用することをユーザーに許可します。ユーザーには、既存のリソースへのタグ付けが許可されません (ec2:CreateTags アクションを直接呼び出すことはできません)。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:RunInstances"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:region:account:*/*",
      "Condition": {
         "StringEquals": {
             "ec2:CreateAction" : "RunInstances"
          }
       }
    }
  ]
}

同様に、次のポリシーでは、ユーザーがボリュームを作成し、ボリューム作成時にボリュームにタグを適用することができます。ユーザーには、既存のリソースへのタグ付けが許可されません (ec2:CreateTags アクションを直接呼び出すことはできません)。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:CreateVolume"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:region:account:*/*",
      "Condition": {
         "StringEquals": {
             "ec2:CreateAction" : "CreateVolume"
          }
       }
    }
  ]
}

ec2:CreateTags アクションは、タグがリソース作成アクション時に適用された場合のみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持っているユーザー (タグ付け条件がないと仮定) には、ec2:CreateTags アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグを使用してリソースを作成しようとした場合、ユーザーが ec2:CreateTags アクションを使用するアクセス権限を持っていない場合はリクエストに失敗します。

ec2:CreateTags アクションは、タグが起動テンプレートに指定されている場合にも評価されます。ポリシーの例については、起動テンプレートのタグを参照してください。

特定のタグへのアクセスの制御

IAM ポリシーの Condition 要素で追加の条件を使用して、リソースに適用できるタグキーとタグ値を制御できます。

次の条件キーは、前のセクションの例で使用できます。

  • aws:RequestTag: 特定のタグキーまたはタグキーと値がリクエストに存在している必要があることを指定する場合に使用します。リクエストでは他のタグも指定できます。

    • StringEquals 条件演算子とともに使用して、特定のタグキーと値の組み合わせを適用します。例えば、タグ cost-center=cc123: を適用します。

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }

    • StringLike 条件演算子とともに使用して、リクエストで特定のタグキーを適用します。例えば、タグキー purpose を適用します。

      "StringLike": { "aws:RequestTag/purpose": "*" }

  • aws:TagKeys: リクエストで使用されるタグキーを適用する場合に使用します。

    • リクエストにタグが指定されている場合は、ForAllValues 修飾子を使用して特定のタグキーのみを適用します (リクエストにタグが指定されている場合、特定のタグキーのみが許可されます。他のタグは許可されません)。例えば、タグキー environment または cost-center が適用されます:

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }

    • ForAnyValue 修飾子とともに使用して、指定されたタグキーの少なくとも 1 つがリクエストに存在することを要求します。例えば、タグキー environment または webserver のうち少なくとも 1 つがリクエストに存在している必要があります。

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

これらの条件キータグ付けをサポートするリソース作成アクションと、ec2:CreateTags および ec2:DeleteTags アクションに適用できます。Amazon EC2 API アクションがタグ付けをサポートしているかどうかについては、Amazon EC2 のアクション、リソース、および条件キーを参照してください

リソースの作成時にタグを指定するようにユーザーに強制するには、リソース作成アクションで aws:RequestTag 修飾子とともに aws:TagKeys 条件キーまたは ForAnyValue 条件キーを使用する必要があります。ユーザーがリソース作成アクションのタグを指定しない場合、ec2:CreateTags アクションは評価されません。

条件においては、条件キーでは大文字と小文字が区別されず、条件値では大文字と小文字が区別されます。したがって、タグキーの大文字と小文字を区別するには、条件の値としてタグキーが指定される aws:TagKeys 条件キーを使用します。

IAM ポリシーの例は、AWS CLI または AWS SDK で使用するサンプルポリシーを参照してください。複数値条件の詳細については、IAM ユーザーガイド複数のキーバリューをテストする条件を作成するを参照してください。