タグベースの IAM アクセスコントロールポリシーを使用する
タグがあると、リソースのタグに基づいてそのリソースへのアクセスを制御する Condition
ブロックが含まれた IAM ポリシーを作成できます。このセクションでは、ワークグループとデータカタログリソースのタグポリシーの例を示します。
ワークグループのタグポリシーの例
以下の IAM ポリシーは、workgroupA
という名前のワークグループのタグでクエリを実行し、それらとやり取りすることを可能にします。
ワークグループなどのリソースに関連付けられたタグは、リソースタグと呼ばれます。リソースタグを使用すると、stack
、production
などのキーと値のペアでタグ付けされたワークグループに対してリストされているアクションを拒否する、次のようなポリシーブロックを作成できます。
タグを変更するオペレーション (TagResource
、UntagResource
、タグを指定した CreateWorkGroup
など) にパラメータとして渡されるタグは、リクエストタグと呼ばれます。次のポリシーブロックの例では、渡されたタグのいずれかがキー CreateWorkGroup
と値 costcenter
、1
、または 2
を持つ場合にのみ、3
オペレーションを許可します。
注記
CreateWorkGroup
オペレーションの一環としてタグを渡すことを IAM ロールに許可する場合は、そのロールに TagResource
アクションと CreateWorkGroup
アクションへの許可を付与するようにしてください。
データカタログのタグポリシーの例
以下の IAM ポリシーは、datacatalogA
という名前のデータカタログのタグとやり取りを可能にします。
リソースタグを使用すると、特定のタグのキーと値のペアでタグ付けされたデータカタログに対して特定のアクションを拒否するポリシーブロックを作成できます。次のポリシーの例では、タグのキーと値のペア stack
、production
を持つデータカタログに対するアクションを拒否します。
タグを変更するオペレーション (TagResource
、UntagResource
、タグを指定した CreateDataCatalog
など) にパラメータとして渡されるタグは、リクエストタグと呼ばれます。次のポリシーブロックの例では、渡されたタグのいずれかがキー CreateDataCatalog
と値 costcenter
、1
、または 2
を持つ場合にのみ、3
オペレーションを許可します。
注記
CreateDataCatalog
オペレーションの一環としてタグを渡すことを IAM ロールに許可する場合は、そのロールに TagResource
アクションと CreateDataCatalog
アクションへの許可を付与するようにしてください。