タグを使用したアクセスのコントロールとジョブのラベル付け - Amazon Simple Storage Service

タグを使用したアクセスのコントロールとジョブのラベル付け

タグを追加することで、S3 バッチオペレーションジョブへのラベル付けとアクセスの制御を実行できます。タグを使用して、バッチオペレーションジョブの担当者を識別できます。ジョブタグがあることで、ユーザーによるジョブのキャンセル、確認状態にあるジョブの有効化、ジョブの優先度レベルの変更を許可したり制限したりできます。タグをアタッチしてジョブを作成し、後でジョブにタグを追加できます。各タグはキーと値のペアであり、ジョブの作成時に追加することも、後で更新することもできます。

警告

ジョブタグには機密情報や個人データを含めないでください。

以下のタグ付けの例を考えてみます。経理部門にバッチオペレーションジョブを作成するとします。AWS Identity and Access Management (IAM) ポリシーを作成して、Department タグに値 Finance を割り当ててジョブを作成する場合に、ユーザーに CreateJob の呼び出しを許可します。さらに、財務部門のメンバーであるすべてのユーザーにそのポリシーをアタッチできます。

この例を進めて、ユーザーに、必要なタグの付いたジョブの優先度を更新することを許可するポリシーや、それらのタグの付いたジョブをキャンセルすることを許可するポリシーを作成できます。詳細については、「ジョブタグを使用した S3 バッチオペレーションのアクセス許可の制御」を参照してください。

タグは、新しい S3 バッチオペレーションジョブの作成時に追加することも、既存のジョブに追加することもできます。

タグには以下の制限があります。

  • タグキーが一意である限り、最大 50 個のタグをジョブに関連付けることができます。

  • タグキーには最大 128 個の Unicode 文字、タグ値には最大 256 個の Unicode 文字を使用できます。

  • キーと値は大文字と小文字が区別されます。

タグの制限の詳細については、AWS 請求とコスト管理ユーザーガイドの「ユーザー定義タグの制限」を参照してください。

S3 バッチオペレーションジョブのタグ付けに関連する API オペレーション

Amazon S3 では、S3 バッチオペレーションジョブのタグ付けについて次の API オペレーションがサポートされています。

  • GetJobTagging — バッチオペレーションジョブに関連付けられたタグセットを返します。

  • PutJobTagging — ジョブに関連付けられたタグのセットを置き換えます。この API アクションを使用した S3 バッチオペレーションジョブタグの管理には、2 つの異なるシナリオがあります。

    • ジョブにタグがない — ジョブに一連のタグを追加できます (ジョブに以前のタグがない)。

    • ジョブに既存のタグのセットがある — 既存のタグのセットを変更するには、既存のタグのセット全体を置き換えます。または、GetJobTagging により既存のタグのセットを取得し、そのタグのセットに変更を加えて、この API アクションにより既存のタグのセットを、変更したタグのセットに置き換えます。

      注記

      タグセットを空にしてこのリクエストを送信すると、S3 バッチオペレーション によってオブジェクトの既存のタグセットが削除されます。この方法を使用する場合は、階層 1 リクエスト (PUT) に対して料金が発生します。詳細については、「Amazon S3 の料金」を参照してください。

      バッチオペレーションジョブの既存のタグを削除するには、DeleteJobTagging アクションをお勧めします。このアクションでは、料金が発生せずに同じ結果が得られるためです。

  • DeleteJobTagging — バッチオペレーションジョブに関連付けられたタグセットを削除します。