タグを使用して発注書へのアクセスを管理する

属性ベースのアクセス制御 (ABAC) を使用して、発注書へのアクセスを管理できます。発注書を作成する際、キーと値のペアでタグ付けできます。その後、IAM ポリシーを作成し、タグを指定できます。たとえば、project キーを追加してそのキーに test という値を割り当てると、IAM ポリシーによってこのタグの付いた発注書へのアクセスを明示的に許可または拒否できます。

新しい発注書にタグを追加したり、既存の注文を更新したりするには、「発注書を追加する」と「発注書を編集する」を参照してください。

例例: タグを使用してアクセスを許可する

以下のポリシーにより、IAM エンティティは、project キーと test の値を持つ発注書を追加、変更、またはタグ付けできます。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "purchase-orders:AddPurchaseOrder",
            "purchase-orders:TagResource",
            "purchase-orders:ModifyPurchaseOrders"
        ],
        "Resource": "arn:aws:purchase-orders::*:purchase-order/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/project": "test"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": "project"
            }
        }
    }]
}

例例: タグを使用してアクセスを拒否する

次のポリシーでは、project キーと値が test である発注書に対して IAM エンティティが発注アクションを完了することを拒否します。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Action": "purchase-orders:*",
        "Resource": "arn:aws:purchase-orders::*:purchase-order/*"
        }]
    }

詳細については、IAM ユーザーガイドにある下記のトピックを参照してください。

• ABAC とは AWS

• タグを使用した AWS リソースへのアクセスの制御