仮想 MFA デバイスのタグ付け - AWS Identity and Access Management

仮想 MFA デバイスのタグ付け

IAM タグのキーバリューのペアを使用することで、仮想 MFA デバイスにカスタム属性を追加できます。例えば、ユーザーの仮想 MFA デバイスのコストセンター情報を追加するには、タグキー CostCenter とタグ値 1234 を追加します。リソースへのアクセスを制御したり、どのタグをオブジェクトにアタッチできるかを制御したりするために、タグを使用します。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。

AWS STS のタグを使用して、ロールを引き受けるとき、またはユーザーをフェデレートするときにカスタム属性を追加することもできます。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。

仮想 MFA デバイスのタグ付けに必要なアクセス許可

IAM エンティティ (ユーザーまたはロール) に仮想 MFA デバイスへのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。

  • iam:ListMFADeviceTags

  • iam:TagMFADevice

  • iam:UntagMFADevice

IAM エンティティ (ユーザーまたはロール) に仮想 MFA デバイスへのタグの追加、一覧表示、削除を許可するには

タグを管理する必要のある IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<MFATokenID> を、タグの管理が必要とされている MFA デバイスの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice", "iam:UntagMFADevice" ], "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>" }

IAM エンティティ (ユーザーまたはロール) に特定の仮想 MFA デバイスへのタグの追加を許可するには

特定のポリシーの MFA デバイスを追加する必要はあるが、削除は不要である IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。

注記

iam:TagMFADevice アクションには、iam:ListMFADeviceTags アクションも含める必要があります。

このポリシーを使用するには、<MFATokenID> を、タグの管理が必要とされている MFA デバイスの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「[JSON] タブでのポリシーの作成」を参照してください。

{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice" ], "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>" }

または、IAMFullAccess などの AWS 管理ポリシーを使用して、IAM へのフルアクセスを付与することもできます。

仮想 MFA デバイスのタグの管理 (AWS CLI または AWS API)

仮想 MFA デバイスのタグを一覧表示、アタッチ、または削除できます。仮想 MFA デバイスのタグを管理するには、AWS CLI または AWS API を使用します。

仮想 MFA デバイスに現在アタッチされているタグを一覧表示するには (AWS CLI または AWS API)

仮想 MFA デバイスにタグをアタッチするには (AWS CLI または AWS API)

仮想 MFA デバイスからタグを削除するには (AWS CLI または AWS API)

他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。

IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。