Amazon EC2 ロール用のインスタンスプロファイルのタグ付け - AWS Identity and Access Management

Amazon EC2 ロール用のインスタンスプロファイルのタグ付け

Amazon EC2 インスタンスを起動するときに、そのインスタンスに関連付ける IAM ロールを指定します。インスタンスプロファイルは IAM ロールのコンテナであり、インスタンスの起動時に Amazon EC2 インスタンスにロール情報を渡すために使用できます。インスタンスプロファイルにタグを付けることができるのは、AWS CLI または AWS API を使用しているときです。

IAM タグのキーバリューのペアを使用することで、インスタンスプロファイルにカスタム属性を追加できます。例えば、インスタンスプロファイルに部門情報を追加するには、タグキー access-team とタグ値 eng を追加します。これにより、一致するタグを持つプリンシパルは、同じタグを持つインスタンスプロファイルにアクセスできるようになります。複数のタグのキーバリューのペアを使用して、チームとプロジェクト、access-team = eng project = peg を指定できます。タグを使用することにより、リソースへのユーザーアクセスや、ユーザーにアタッチできるタグを、制御できます。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。

AWS STS のタグを使用して、ロールを引き受けるとき、またはユーザーをフェデレートするときにカスタム属性を追加することもできます。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。

インスタンスプロファイルのタグ付けに必要なアクセス許可

IAM エンティティ (ユーザーまたはロール) にインスタンスプロファイルへのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。

  • iam:ListInstanceProfileTags

  • iam:TagInstanceProfile

  • iam:UntagInstanceProfile

IAM エンティティ (ユーザーまたはロール) にインスタンスプロファイルへのタグの追加、一覧表示、削除を許可するには

タグを管理する必要のある IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<InstanceProfileName> を、タグの管理が必要とされているインスタンスプロファイルの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile", "iam:UntagInstanceProfile" ], "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>" }

IAM エンティティ (ユーザーまたはロール) にインスタンスプロファイルへのタグの追加を許可するには

特定のインスタンスプロファイルのタグを追加する必要はあるが、削除は不要である IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。

注記

iam:TagInstanceProfile アクションには、iam:ListInstanceProfileTags アクションも含める必要があります。

このポリシーを使用するには、<InstanceProfileName> を、タグの管理が必要とされているインスタンスプロファイルの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile" ], "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>" }

または、IAMFullAccess などの AWS 管理ポリシーを使用して、IAM へのフルアクセスを付与することもできます。

インスタンスプロファイルのタグの管理 (AWS CLI または AWS API)

インスタンスプロファイルのタグを一覧表示、アタッチ、または削除することができます。AWS CLI または AWS API を使用して、インスタンスプロファイルのタグ付けを管理できます。

インスタンスプロファイルに現在アタッチされているタグを一覧表示するには (AWS CLI または AWS API)

インスタンスプロファイルにタグをアタッチするには (AWS CLI または AWS API)

インスタンスプロファイルからタグを削除するには (AWS CLI または AWS API)

他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。

IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。