タグベースの IAM アクセスコントロールポリシーを使用する

タグがあると、リソースのタグに基づいてそのリソースへのアクセスを制御する Condition ブロックが含まれた IAM ポリシーを作成できます。このセクションでは、ワークグループとデータカタログリソースのタグポリシーの例を示します。

ワークグループのタグポリシーの例

以下の IAM ポリシーは、workgroupA という名前のワークグループのタグでクエリを実行し、それらとやり取りすることを可能にします。

ワークグループなどのリソースに関連付けられたタグは、リソースタグと呼ばれます。リソースタグを使用すると、stack、production などのキーと値のペアでタグ付けされたワークグループに対してリストされているアクションを拒否する、次のようなポリシーブロックを作成できます。

タグを変更するオペレーション (TagResource、UntagResource、タグを指定した CreateWorkGroup など) にパラメータとして渡されるタグは、リクエストタグと呼ばれます。次のポリシーブロックの例では、渡されたタグのいずれかがキー CreateWorkGroup と値 costcenter、1、または 2 を持つ場合にのみ、3 オペレーションを許可します。

注記

CreateWorkGroup オペレーションの一環としてタグを渡すことを IAM ロールに許可する場合は、そのロールに TagResource アクションと CreateWorkGroup アクションへの許可を付与するようにしてください。

データカタログのタグポリシーの例

以下の IAM ポリシーは、datacatalogA という名前のデータカタログのタグとやり取りを可能にします。

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:GetDatabase",
                "athena:ListTableMetadata",
                "athena:GetTableMetadata"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetWorkGroup",
                "athena:TagResource",
                "athena:UntagResource",
                "athena:ListTagsForResource",
                "athena:StartQueryExecution",
                "athena:GetQueryExecution",
                "athena:BatchGetQueryExecution",
                "athena:ListQueryExecutions",
                "athena:StopQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:CreateNamedQuery",
                "athena:GetNamedQuery",
                "athena:BatchGetNamedQuery",
                "athena:ListNamedQueries",
                "athena:DeleteNamedQuery"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:CreateDataCatalog",
                "athena:GetDataCatalog",
                "athena:UpdateDataCatalog",
                "athena:DeleteDataCatalog",
                "athena:ListDatabases",
                "athena:GetDatabase",
                "athena:ListTableMetadata",
                "athena:GetTableMetadata",
                "athena:TagResource",
                "athena:UntagResource",
                "athena:ListTagsForResource"
            ],
            "Resource": "arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
        }
    ]
}

リソースタグを使用すると、特定のタグのキーと値のペアでタグ付けされたデータカタログに対して特定のアクションを拒否するポリシーブロックを作成できます。次のポリシーの例では、タグのキーと値のペア stack、production を持つデータカタログに対するアクションを拒否します。

タグを変更するオペレーション (TagResource、UntagResource、タグを指定した CreateDataCatalog など) にパラメータとして渡されるタグは、リクエストタグと呼ばれます。次のポリシーブロックの例では、渡されたタグのいずれかがキー CreateDataCatalog と値 costcenter、1、または 2 を持つ場合にのみ、3 オペレーションを許可します。

注記

CreateDataCatalog オペレーションの一環としてタグを渡すことを IAM ロールに許可する場合は、そのロールに TagResource アクションと CreateDataCatalog アクションへの許可を付与するようにしてください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

API および CLI タグオペレーション

Service Quotas