サーバー証明書のタグ付け

AWS CLI を使用して SSL/TLS 証明書を管理する場合は、 または AWS APIを使用してに IAM あるサーバー証明書にタグ付けします。AWS Certificate Manager (ACM) でサポートされているリージョンの証明書については、IAM ではなく ACM を使用して、サーバー証明書をプロビジョン、管理、デプロイすることをお勧めします。サポートされていないリージョンでは、IAM を Certificate Manager として使用する必要があります。ACM がサポートするリージョンについては、「AWS 全般のリファレンス」の「AWS Certificate Manager エンドポイントとクォータ」を参照してください。

IAM タグのキーバリューのペアを使用することで、サーバー証明書にカスタム属性を追加できます。例えば、サーバー証明書の所有者または管理者に関する情報を追加するには、タグキー owner とタグ値 net-eng を追加します。または、タグキー CostCenter とタグ値 1234 を追加して、コストセンターを指定することもできます。リソースへのアクセスを制御したり、どのタグをリソースにアタッチできるかを制御したりするために、タグを使用します。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。

AWS STS のタグを使用して、ロールを引き受けるとき、またはユーザーをフェデレートするときにカスタム属性を追加することもできます。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。

サーバー証明書のタグ付けに必要なアクセス許可

IAM エンティティ (ユーザーまたはロール) にサーバー証明書へのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。

• iam:ListServerCertificateTags

• iam:TagServerCertificate

• iam:UntagServerCertificate

IAM エンティティ (ユーザーまたはロール) にサーバー証明書へのタグの追加、一覧表示、削除を許可するには

タグを管理する必要のある IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<CertificateName> を、タグの管理が必要とされているサーバー証明書の名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListServerCertificateTags",
        "iam:TagServerCertificate",
        "iam:UntagServerCertificate"
    ],
    "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>"
}

IAM エンティティ (ユーザーまたはロール) に特定のサーバー証明書へのタグの追加を許可するには

特定の サーバー証明書のタグを追加する必要はあるが、削除やタグ付けは不要である IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。

注記

iam:TagServerCertificate アクションには、iam:ListServerCertificateTags アクションも含める必要があります。

このポリシーを使用するには、<CertificateName> を、タグの管理が必要とされているサーバー証明書の名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListServerCertificateTags",
        "iam:TagServerCertificate"
    ],
    "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>"
}

または、IAMFullAccess などの AWS 管理ポリシーを使用して、IAM へのフルアクセスを付与することもできます。

サーバー証明書のタグの管理 (AWS CLI または AWS API)

サーバー証明書のタグを一覧表示、アタッチ、または削除できます。サーバー証明書のタグを管理するには、AWS CLI または AWS API を使用します。

サーバー証明書に現在アタッチされているタグを一覧表示するには (AWS CLI または AWS API)

• AWS CLI: aws iam list-server-certificate-tags

• AWS API: ListServerCertificateTags

サーバー証明書にタグをアタッチするには (AWS CLI または AWS API)

• AWS CLI: aws iam tag-server-certificate

• AWS API: TagServerCertificate

サーバー証明書からタグを削除するには (AWS CLI または AWS API)

• AWS CLI: aws iam untag-server-certificate

• AWS API: UntagServerCertificate

他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。

IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。