IAM: 特定の値を持つ特定のタグを追加する - AWS Identity and Access Management

IAM: 特定の値を持つ特定のタグを追加する

この例では、次のような IAM ポリシーを作成する方法を示します。 では、タグキー CostCenter と、タグ値 A-123 またはタグ値 B-456 のみを IAM ユーザーまたはロールに追加することができます。このポリシーを使用して、特定のタグキーとタグ値のセットにタグ付けを制限することができます。このポリシーは、プログラムによるアクセスおよびコンソールアクセスのアクセス許可を定義します。 このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

ConsoleDisplay ステートメントでは、アカウントのすべてのユーザーとロールのタグを表示することができます。

AddTag ステートメントの最初の条件では、StringEquals 条件演算子を使用します。この条件によって、一覧表示されているいずれかのタグ値を持つ CostCenter タグキーが含まれている場合に true が返ります。

2 番目の条件では、ForAllValues:StringEquals 条件演算子を使用します。この条件では、リクエストのすべてのタグキーが、ポリシーのキーと一致する場合に true が返ります。つまり、リクエストのタグキーのみ CostCenter である必要があります。ForAllValues の使用の詳細については、「複数のキーまたは値による条件の作成」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConsoleDisplay", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetUser", "iam:ListRoles", "iam:ListRoleTags", "iam:ListUsers", "iam:ListUserTags" ], "Resource": "*" }, { "Sid": "AddTag", "Effect": "Allow", "Action": [ "iam:TagUser", "iam:TagRole" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CostCenter": [ "A-123", "B-456" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"} } } ] }