IAM: 特定のタグを持つロールを引き受ける - AWS Identity and Access Management

IAM: 特定のタグを持つロールを引き受ける

この例では、IAM ユーザーがタグのキーバリューのペア Project = ExampleCorpABC を持つロールを引き受けることを許可する IAM ポリシーの作成方法を示します。このポリシーでは、AWS API または AWS CLI からのみこのアクションを実行するためのアクセス許可を付与します このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

このタグを持つロールがユーザーと同じアカウントに存在する場合、ユーザーはそのロールを引き受けることができます。このタグを持つロールがユーザー以外のアカウントに存在する場合は、追加のアクセス許可が必要です。クロスアカウントロールの信頼ポリシーでは、ユーザーまたはユーザーのアカウントのすべてのメンバーがそのロールを引き受けることも許可する必要があります。クロスアカウントアクセスのロールの使用に関する詳細情報は、「所有している別の AWS アカウントへのアクセス権を IAM ユーザーに提供」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AssumeTaggedRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "*", "Condition": { "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"} } } ] }