IAM: 特定の値を持つ特定のタグを追加する - AWS Identity and Access Management

IAM: 特定の値を持つ特定のタグを追加する

この例は、タグキー CostCenter とタグ値 A-123 またはタグ値 B-456 のいずれかのみを IAM ユーザーまたはロールに追加できる ID ベースのポリシーを作成する方法を示しています。このポリシーを使用して、特定のタグキーとタグ値のセットにタグ付けを制限することができます。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

ConsoleDisplay ステートメントでは、アカウントのすべてのユーザーとロールのタグを表示することができます。

AddTag ステートメントの最初の条件では、StringEquals 条件演算子を使用します。この条件によって、一覧表示されているいずれかのタグ値を持つ CostCenter タグキーが含まれている場合に true が返ります。

2 番目の条件では、ForAllValues:StringEquals 条件演算子を使用します。この条件では、リクエストのすべてのタグキーが、ポリシーのキーと一致する場合に true が返ります。つまり、リクエストのタグキーのみ CostCenter である必要があります。ForAllValues の使用の詳細については、「複数値のコンテキストキー」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}