IAMポリシーでタグを使用する

タグの実装を開始した後、タグベースのリソースレベルのアクセス許可を AWS Identity and Access Management (IAM) ポリシーと API オペレーションに適用できます。これには、リソースの作成時にリソースへのタグの追加をサポートするオペレーションが含まれます。この方法でタグを使用すると、 AWS アカウント内のどのグループとユーザーがリソースの作成とタグ付けのアクセス許可を持ち、どのグループとユーザーがより一般的にタグの作成、更新、削除のアクセス許可を持っているかをきめ細かく制御できます。

例えば、リソースの Owner タグの値がユーザー名となっているすべての Amazon Personalize rリソースに対して、ユーザーにフルアクセスを許可するポリシーを作成できます。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "personalize:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}

次の例は、データセットの作成と削除を許可するポリシーを作成する方法を示しています。これらのオペレーションは、ユーザー名が johndoe の場合にのみ許可されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:CreateDataset",
                "personalize:DeleteDataset"
            ],
            "Resource": "arn:aws:personalize:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "personalize:DescribeDataset",
            "Resource": "*"
        }
    ]
}

タグをベースにしてリソースレベルでアクセス許可を定義した場合、そのアクセス許可は即座に反映されます。つまり、リソースが作成されるとすぐにリソースの安全性が増し、新しいリソースにタグの使用をすぐに強制できるようになります。リソースレベルのアクセス許可を使用して、新しいリソースと既存のリソースに、どのタグキーと値を関連付けるかを制御することもできます。詳細については、AWS IAM ユーザーガイドの「タグを使用したアクセス制御」を参照してください。