IAM: 特定のタグを持つユーザーに特定のタグを追加する - AWS Identity and Access Management

IAM: 特定のタグを持つユーザーに特定のタグを追加する

この例では、次のような IAM ポリシーを作成する方法を示します。 では、タグ値 MarketingDevelopment、または QualityAssurance のタグキー Department を IAM ユーザーに追加することができます。このユーザーには、すでにタグキー – 値のペア JobFunction = manager が含まれています。このポリシーを使用して、管理者が 3 つのいずれかの部門にのみ属していることを必須とすることができます。このポリシーは、プログラムによるアクセスおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

ListTagsForAllUsers ステートメントでは、アカウントのすべてのユーザーのタグを表示することができます。

TagManagerWithSpecificDepartment ステートメントの最初の条件では、StringEquals 条件演算子を使用します。この条件によって、条件のいずれも true の場合には true が返ります。タグ付けされているユーザーには、すでに JobFunction=Manager タグが含まれます。リクエストには、一覧表示されているタグ値のいずれかを持つタグキー Department が含まれている必要があります。

2 番目の条件では、ForAllValues:StringEquals 条件演算子を使用します。この条件では、リクエストのすべてのタグキーが、ポリシーのキーと一致する場合に true が返ります。つまり、リクエストのタグキーのみ Department である必要があります。ForAllValues の使用の詳細については、「複数のキーまたは値による条件の作成」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTagsForAllUsers", "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "TagManagerWithSpecificDepartment", "Effect": "Allow", "Action": "iam:TagUser", "Resource": "*", "Condition": {"StringEquals": { "iam:ResourceTag/JobFunction": "Manager", "aws:RequestTag/Department": [ "Marketing", "Development", "QualityAssurance" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "Department"} } } ] }