アクセス許可の設定

タグエディタ を最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。

• 個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。

• タグエディタ コンソールを使用するために必要なアクセス許可。

管理者の場合は、 を使用してポリシーを作成することで、ユーザーに許可を付与できます。 AWS Identity and Access Management （IAM) サービス。まずIAMロール、ユーザー、またはグループを作成し、必要なアクセス許可でポリシーを適用します。IAM ポリシーの作成とアタッチの詳細については、「ポリシーの使用」を参照してください。

個々のサービスに対するアクセス許可

重要

このセクションでは、他の のリソースにタグを付ける場合に必要となるアクセス許可について説明します。 AWS サービスコンソールと APIs。

リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2インスタンスにタグを付けるには、Amazon などAPI、そのサービスの のタグ付けオペレーションに対するアクセス許可が必要です。 EC2CreateTags オペレーション。

タグエディタ コンソールを使用するために必要なアクセス許可

タグエディタ コンソールを使用してリソースを一覧表示およびタグ付けするには、 でユーザーのポリシーステートメントに次のアクセス許可を追加する必要がありますIAM。次のいずれかを追加できます。 AWS によって維持され、最新の状態に保たれる マネージドポリシー AWS、または独自のカスタムポリシーを作成して管理できます。

使用 AWS タグエディタ のアクセス許可の マネージドポリシー

タグエディタ は以下をサポートします。 AWS ユーザーにアクセス許可の事前定義されたセットを提供するために使用できる マネージドポリシー。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のロール、ユーザー、グループにアタッチできます。

ResourceGroupsandTagEditorReadOnlyAccess

このポリシーは、アタッチされたIAMロールまたはユーザーに、両方の読み取り専用オペレーションを呼び出すアクセス許可を付与します。 AWS Resource Groups およびタグエディタ。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です。詳細については、以下の重要な注意事項を参照してください。

ResourceGroupsandTagEditorFullAccess

このポリシーは、アタッチされたIAMロールまたはユーザーに、タグエディタで Resource Groups オペレーションと読み取り/書き込みタグオペレーションを呼び出すアクセス許可を付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です。詳細については、以下の重要な注意事項を参照してください。

重要

上記の 2 つのポリシーは、タグエディタ のオペレーションを呼び出し、タグエディタ コンソールを使用するアクセス許可を付与します。しかしながら、オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。

• - AWS マネージドポリシー ReadOnlyAccess は、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可を付与します。 AWS は、このポリシーを新しい で自動的に最新の状態に保つ AWS のサービス 利用可能になると、 が実行されます。

• 多くの サービスはサービス固有の読み取り専用を提供します AWS そのサービスによって提供されるリソースのみにアクセスを制限するために使用できる マネージドポリシー。例えば、Amazon EC2は AmazonEC2ReadOnlyAccess.

• ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、許可リスト戦略または拒否リスト戦略のいずれかを使用します。

  許可リスト戦略では、ポリシーで明示的に許可するまで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "tag:*" ],
              "Resource": "<ARNs of resources to allow tagging>"
          }
      ]
  }

  または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する拒否リスト戦略を使用することもできます。これには、アクセスを許可する関連ユーザーに適用される別のポリシーが必要です。次のポリシー例では、Amazon リソースネーム () でリストされている特定のリソースへのアクセスを拒否しますARN。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Deny",
               "Action": [ "tag:*" ],
              "Resource": "<ARNs of resources to disallow tagging>"
          }
      ]
  }

タグエディタ のアクセス許可を手動で追加する

• tag:* (このアクセス許可は、すべての タグエディタ でのアクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを特定のアクション、またはカンマで区切ったアクションのリストに置き換えることができます)

• tag:GetResources

• tag:TagResources

• tag:UntagResources

• tag:getTagKeys

• tag:getTagValues

• resource-explorer:*

• resource-groups:SearchResources

• resource-groups:ListResourceTypes

注記

アクセスresource-groups:SearchResources許可により、タグエディタはタグキーまたは値を使用して検索をフィルタリングするときにリソースを一覧表示できます。

アクセスresource-explorer:ListResources許可により、検索タグを定義せずにリソースを検索するときに、タグエディタ がリソースを一覧表示できるようになります。

タグエディタ を使用するためのアクセス許可を付与する

を使用するためのポリシーを追加するには AWS Resource Groups およびタグエディタをロールにタグ付けするには、次の手順を実行します。

1. IAM コンソールを開き、ロールページを開きます。

2. タグエディタ のアクセス許可を付与するロールを見つけます。ロール名を選択して、ロールの 「概要」ページを開きます。

3. 権限タブで、権限を追加するを選択します。

4. 既存のポリシーを直接添付するを選択します。

5. [Create policy] を選択します。

6. JSON タブに、次のポリシーステートメントを貼り付けます。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*",
           "resource-groups:SearchResources",
           "resource-groups:ListResourceTypes"
         ],
         "Resource": "*"
       }
     ]
   }

   注記

   このポリシーステートメントの例は、 タグエディタ のアクションに対してのみを実行するアクセス許可を付与します。

7. 次へ: タグ次へ: 確認の順に選択します。

8. 新しいポリシーの名前と説明を入力します。例えば、AWSTaggingAccess と指定します。

9. [Create policy] を選択します。

ポリシーが に保存されたのでIAM、ロール、グループ、ユーザーなどの他のプリンシパルにアタッチできます。プリンシパルにポリシーを追加する方法の詳細については、「 ユーザーガイド」のIAM「ID アクセス許可の追加と削除IAM」を参照してください。

タグに基づく認可とアクセス制御

AWS のサービス は以下をサポートします。

• アクションに戻づくポリシー – 例えば、ユーザーに、 GetTagKeys もしくは GetTagValues のオペレーションの実行を許可し、それ以外のオペレーションを許可しないポリシーを作成できます。

• ポリシーのリソースレベルのアクセス許可 — 多くの のサービスではARNs、 を使用してポリシーで個々のリソースを指定することをサポートしています。

• タグに基づいた認可 – 多くのサービスでは、ポリシーの条件にリソースタグを使用できます。たとえば、 ユーザーに、同じタグを持つグループへのフルアクセスを許可するポリシーを作成できます。詳細については、「 とはABAC」を参照してください。 AWSの ? AWS Identity and Access Management ユーザーガイド 。

• 一時的な認証情報 – ユーザーは、タグエディタ のオペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。

タグエディタ はサービスにリンクされたロールを使用しません。

タグエディタ と の統合方法の詳細については、「」を参照してください。 AWS Identity and Access Management （IAM）、「」の以下のトピックを参照してください。 AWS Identity and Access Management ユーザーガイド：

• AWS と連携する のサービス IAM

• タグエディタ のアクション、リソース、および条件キー

• へのアクセスの制御 AWS ポリシーを使用する リソース