OpenID Connect (OIDC) ID プロバイダーのタグ付け

IAM タグキーバリューを使用することで、IAM OpenID Connect (OIDC) ID プロバイダーにカスタム属性を追加できます。例えば、OIDC ID プロバイダーを特定するには、タグキー google とタグ値 oidc を追加します。リソースへのアクセスを制御したり、どのタグをオブジェクトにアタッチできるかを制御したりするために、タグを使用します。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。

IAM OIDC ID プロバイダーのタグ付けに必要なアクセス許可

IAM エンティティ (ユーザーまたはロール) に IAM OIDC ID プロバイダーへのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。

• iam:ListOpenIDConnectProviderTags

• iam:TagOpenIDConnectProvider

• iam:UntagOpenIDConnectProvider

IAM エンティティ (ユーザーまたはロール) に IAM OIDC ID プロバイダーへのタグの追加、一覧表示、削除を許可するには

タグを管理する必要のある IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<OIDCProviderName> を、タグの管理が必要とされている OIDC プロバイダーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider",
        "iam:UntagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

IAM エンティティ (ユーザーまたはロール) に、特定の IAM OIDC ID プロバイダーへのタグの追加を許可するには

特定の ID プロバイダーのタグを追加する必要はあるが、削除やタグ付けは不要である IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。

注記

iam:TagOpenIDConnectProvider アクションには、iam:ListOpenIDConnectProviderTags アクションも含める必要があります。

このポリシーを使用するには、<OIDCProviderName> を、タグの管理が必要とされている OIDC プロバイダーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

または、IAMFullAccess などの AWS 管理ポリシーを使用して、IAM へのフルアクセスを付与することもできます。

IAM OIDC ID プロバイダーのタグの管理 (コンソール)

IAM OIDC ID プロバイダーのタグは AWS Management Console から管理できます。

OIDC ID プロバイダーのタグを管理するには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. コンソールのナビゲーションペインで [Identity providers (ID プロバイダー)] を選択し、編集する ID プロバイダーの名前を選択します。

3. [Tags (タグ)] セクションで、[Manage tags (タグの管理)] を選択し、次のいずれかのアクションを実行します。

   • OIDC ID プロバイダーにまだタグがない場合、または新しいタグを追加する場合は、[Add tag (タグの追加)] を選択します。

   • 既存のタグキーバリューを編集します。

   • タグを削除するには、[Remove tag (タグの削除)] を選択します。

4. 次に、変更の保存を選択します。

IAM OIDC ID プロバイダーのタグの管理 (AWS CLI または AWS API)

IAM OIDC ID プロバイダーのタグを一覧表示、アタッチ、または削除することができます。IAM OIDC ID プロバイダーのタグを管理するには、AWS CLI または AWS API を使用します。

IAM OIDC ID プロバイダーに現在アタッチされているタグを一覧表示するには (AWS CLI または AWS API)

• AWS CLI: aws iam list-open-id-connect-provider-tags

• AWS API: ListOpenIDConnectProviderTags

IAM OIDC ID プロバイダーにタグをアタッチするには (AWS CLI または AWS API)

• AWS CLI: aws iam tag-open-id-connect-provider

• AWS API: TagOpenIDConnectProvider

IAM OIDC ID プロバイダーのタグを削除するには (AWS CLI または AWS API)

• AWS CLI: aws iam untag-open-id-connect-provider

• AWS API: UntagOpenIDConnectProvider

他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。

IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。