タグを使用して発注書へのアクセスを管理する

属性ベースのアクセス制御 (ABAC) を使用して、発注書へのアクセスを管理できます。発注書を作成する際、キーと値のペアでタグ付けできます。その後、IAM ポリシーを作成し、タグを指定できます。たとえば、project キーを追加してそのキーに test という値を割り当てると、IAM ポリシーによってこのタグの付いた発注書へのアクセスを明示的に許可または拒否できます。

新しい発注書にタグを追加したり、既存の注文を更新したりするには、「発注書を追加する」と「発注書を編集する」を参照してください。

例: タグを使用してアクセスを許可する

以下のポリシーにより、IAM エンティティは、project キーと test の値を持つ発注書を追加、変更、またはタグ付けできます。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "purchase-orders:AddPurchaseOrder",
            "purchase-orders:TagResource",
            "purchase-orders:ModifyPurchaseOrders"
        ],
        "Resource": "arn:aws:purchase-orders::*:purchase-order/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/project": "test"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": "project"
            }
        }
    }]
}

例: タグを使用してアクセスを拒否する

次のポリシーでは、project キーと値が test である発注書に対して IAM エンティティが発注アクションを完了することを拒否します。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": "purchase-orders:*",
        "Resource": "arn:aws:purchase-orders::*:purchase-order/*",
        "Condition": {
            "StringEquals": {
                "aws:ResourceTag/Project": "test"
            }
        }
    }]
}

詳細については、IAM ユーザーガイドにある下記のトピックを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

発注所の通知を有効にする

を使用したサービスの試用 AWS 無料利用枠