IAM ロールのタグ付け
IAM タグのキーバリューのペアを使用することで、IAM ロールにカスタム属性を追加できます。例えば、位置情報をロールに追加するには、タグキー location
とタグ値 us_wa_seattle
を追加します。または、3 つの位置のタグのキーバリューのペアを使用できます (loc-country =
us
、loc-state = wa
、loc-city =
seattle
)。タグを使用することにより、リソースへのロールのアクセスや、ロールにアタッチできるタグを、制御できます。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。
AWS STS のタグを使用して、ロールを引き受けるとき、またはユーザーをフェデレートするときにカスタム属性を追加することもできます。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。
IAM ロールのタグ付けに必要なアクセス許可
IAM ロールに、他のエンティティ (ユーザーまたはロール) へのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。
-
iam:ListRoleTags
-
iam:TagRole
-
iam:UntagRole
-
iam:ListUserTags
-
iam:TagUser
-
iam:UntagUser
IAM ロールに、特定のユーザーへのタグの追加、一覧表示、または削除を許可するには
タグを管理する必要のある IAM ロールのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<username>
を、タグの管理が必要とされているユーザーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。
{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::
<account-number>
:user/<username>
" }
IAM ロールに、特定のユーザーへのタグの追加を許可するには
特定のユーザーのタグを追加する必要はあるが、削除やタグ付けは不要な IAM ロールのアクセス許可ポリシーに、以下のステートメントを追加します。
このポリシーを使用するには、<username>
を、タグの管理が必要とされているユーザーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。
{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam::
<account-number>
:user/<username>
" }
IAM ロールに、特定のロールへのタグの追加、一覧表示、または削除を許可するには
タグを管理する必要のある IAM ロールのアクセス許可ポリシーに、以下のステートメントを追加します。<rolename>
を、タグの管理が必要とされているロールの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。
{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam::
<account-number>
:role/<rolename>
" }
または、IAMFullAccess
IAM ロールのタグの管理 (コンソール)
IAM ロールのタグを AWS Management Console から管理できます。
ロールのタグを管理するには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
コンソールのナビゲーションペインで、ロール を選択し、編集するロールの名前を選択します。
-
[タグ] タブを選択し、以下のいずれかのアクションを完了します。
-
ロールにまだタグがない場合は、[Add new tag] (新しいタグを追加) を選択します。
-
[Manage tags] (タグを管理) を選択して、既存のタグセットを管理します。
-
-
タグのセットを完了するには、タグを追加または削除します。次に、[変更の保存] を選択します。
IAM ロールのタグの管理 (AWS CLI または AWS API)
IAM ロールのタグを一覧表示、アタッチ、または削除できます。IAM ロールのタグ付けを管理するには、AWS CLI または AWS API を使用します。
IAM ロール (AWS CLI または AWS API) に現在アタッチされているタグを一覧表示するには
-
AWS CLI: aws iam list-role-tags
-
AWS API: ListRoleTags
タグを IAM ロール (AWS CLI または AWS API) にアタッチするには
-
AWS CLI: aws iam tag-role
-
AWS API: TagRole
IAM ロール (AWS CLI または AWS API) からタグを削除するには
-
AWS CLI: aws iam untag-role
-
AWS API: UntagRole
他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。
IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。