IAM ロールのタグ付け - AWS Identity and Access Management

IAM ロールのタグ付け

IAM タグのキーと値のペアを使用することで、IAM ロールにカスタム属性を追加できます。例えば、位置情報をロールに追加するには、タグキー location とタグ値 us_wa_seattle を追加します。または、3 つの位置のタグのキーと値のペアを使用できます (loc-country = usloc-state = waloc-city = seattle)。タグを使用することにより、リソースへのロールのアクセスや、ロールにアタッチできるタグを、制御できます。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。

AWS STS のタグを使用して、ロールを引き受けるとき、またはユーザーをフェデレートするときにカスタム属性を追加することもできます。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。

IAM ロールのタグ付けに必要なアクセス許可

IAM ロールに、他のエンティティ (ユーザーまたはロール) へのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。

  • iam:ListRoleTags

  • iam:TagRole

  • iam:UntagRole

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

IAM ロールに、特定のユーザーへのタグの追加、一覧表示、または削除を許可するには

タグを管理する必要のある IAM ロールのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<username> を、タグの管理が必要とされているユーザーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

IAM ロールに、特定のユーザーへのタグの追加を許可するには

特定のユーザーのタグを追加する必要はあるが、削除やタグ付けは不要な IAM ロールのアクセス許可ポリシーに、以下のステートメントを追加します。

注記

iam:TagRole アクションには、iam:ListRoleTags アクションも含める必要があります。

このポリシーを使用するには、<username> を、タグの管理が必要とされているユーザーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

IAM ロールに、特定のロールへのタグの追加、一覧表示、または削除を許可するには

タグを管理する必要のある IAM ロールのアクセス許可ポリシーに、以下のステートメントを追加します。<rolename> を、タグの管理が必要とされているロールの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam:*:<account-number>:role/<rolename>" }

または、IAMFullAccess などの AWS 管理ポリシーを使用して、IAM へのフルアクセスを付与することもできます。

IAM ロールのタグの管理 (コンソール)

IAM ロールのタグを AWS Management Console から管理できます。

ロールのタグを管理するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. コンソールのナビゲーションペインで、[Roles (ロール)] を選択し、編集するロールの名前を選択します。

  3. [タグ] タブを選択し、以下のいずれかのアクションを完了します。

    • ロールにまだタグがない場合は、[Add tags (タグの追加)] を選択します。

    • [タグの編集] を選択して、既存のタグセットを管理します。

  4. タグのセットを完了するには、タグを追加または削除します。次に、[変更の保存] を選択します。

IAMロールのタグの管理 (AWS CLI または AWS API)

IAM ロールのタグを一覧表示、アタッチ、または削除できます。IAM ロールのタグ付けを管理するには、AWS CLI または AWS API を使用します。

IAM ロールに現在アタッチされているタグを一覧表示するには (AWS CLI または AWS API)

タグを IAM ロールにアタッチするには (AWS CLI または AWS API)

IAM ロールからタグを削除するには (AWS CLI または AWS API)

他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。

IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。