IAM ユーザーのタグ付け - AWS Identity and Access Management
IAM ユーザーのタグ付けに必要なアクセス許可IAM ユーザーのタグの管理 (コンソール)IAM ユーザーのタグの管理 ( AWS CLI または AWS API)

IAM ユーザーのタグ付け

IAM タグのキーバリューのペアを使用することで、 ユーザーにカスタム属性を追加できます。たとえば、位置情報をユーザーに追加するには、タグキー location とタグ値 us_wa_seattle を追加できます。または、3 つの位置のタグのキーバリューのペアを使用できます (loc-country = usloc-state = waloc-city = seattle)。タグを使用することにより、リソースへのユーザーアクセスや、ユーザーにアタッチできるタグを、制御できます。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。

AWS STS のタグを使用して、ロールを引き受けるとき、またはユーザーをフェデレートするときにカスタム属性を追加することもできます。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。

IAM ユーザーのタグ付けに必要なアクセス許可

IAM ユーザーに、他のユーザーへのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

IAM ユーザーに、特定のユーザーへのタグの追加、一覧表示、または削除を許可するには

タグを管理する必要のある IAM ユーザーのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<username> を、タグの管理が必要とされているユーザーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}
IAM ユーザーにタグの自己管理を許可するには

独自のタグの管理をユーザーに許可するアクセス許可ポリシーに、以下のステートメントを追加します。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::user/${aws:username}"
}
IAM ユーザーに、特定のユーザーへのタグの追加を許可するには

特定のユーザーのタグを追加する必要はあるが、削除やタグ付けは不要な IAM ユーザーのアクセス許可ポリシーに、以下のステートメントを追加します。

注記

iam:TagUser アクションには、iam:ListUserTags アクションも含める必要があります。

このポリシーを使用するには、<username> を、タグの管理が必要とされているユーザーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}

または、IAMFullAccess などの AWS 管理ポリシーを使用して、IAM へのフルアクセスを付与することもできます。

IAM ユーザーのタグの管理 (コンソール)

IAM ユーザーのタグを AWS Management Console から管理できます。

ユーザーのタグを管理するには (コンソール)

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. コンソールのナビゲーションペインで、[Users (ユーザー)] を選択し、編集するユーザーの名前を選択します。

  3. [タグ] タブを選択し、以下のいずれかのアクションを完了します。

    • ユーザーがまだタグがない場合は、[新しいタグを追加] を選択します。

    • [Manage tags] (タグを管理) を選択して、既存のタグセットを管理します。

  4. タグのセットを完了するには、タグを追加または削除します。次に、[Save changes] (変更の保存) を選択します。

IAM ユーザーのタグの管理 ( AWS CLI または AWS API)

IAM ユーザーのタグを一覧表示、アタッチ、または削除できます。IAM ユーザーのタグを管理するには、AWS CLI または AWS API を使用します。

IAM ユーザーに現在アタッチされているタグを一覧表示するには (AWS または AWS CLI API)
タグを IAM ユーザーにアタッチするには (AWS CLI または AWS API)
IAM ユーザーからタグを削除するには (AWS CLI または AWS API)

他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。

IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。