前提条件とアクセス許可 - AWS リソースのタグ付け

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件とアクセス許可

タグエディタ でタグポリシーのコンプライアンスを評価する前に、要件を満たし、必要なアクセス許可を設定する必要があります。

タグポリシーのコンプライアンスを評価するための前提条件

タグポリシーのコンプライアンスを評価するには、以下のようにする必要があります。

アカウントのコンプライアンスを評価するためのアクセス許可

アカウントのリソースで非準拠のタグを検出するには、以下のアクセス許可が必要です。

  • organizations:DescribeEffectivePolicy — アカウントの有効なタグポリシーの内容を取得します。

  • tag:GetResources — アタッチされたタグポリシーに準拠していないリソースのリストを取得します。

  • tag:TagResources - タグを追加または更新します。タグを作成するには、サービス固有のアクセス許可も必要です。例えば、Amazon Elastic Compute Cloud (Amazon EC2) のリソースにタグを付けるには、ec2:CreateTags のアクセス許可が必要です。

  • tag:UnTagResources — タグを削除します。タグを削除するには、サービス固有のアクセス許可も必要です。例えば、Amazon EC2 のリソースのタグを解除するには、ec2:DeleteTags のアクセス許可が必要です。

次の AWS Identity and Access Management (IAM) ポリシーの例は、アカウントのタグコンプライアンスを評価するためのアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }

IAM ポリシーおよび許可の詳細については、IAM ユーザーガイドを参照してください。

組織全体のコンプライアンスを評価するためのアクセス許可

タグポリシーへの組織全体のコンプライアンスを評価するには、以下のアクセス許可が必要です。

  • organizations:DescribeEffectivePolicy — 組織、組織単位 (OU)、またはアカウントにアタッチされているタグポリシーの内容を取得します。

  • tag:GetComplianceSummary — 組織内のすべてのアカウント内の非準拠リソースの概要を取得します。

  • tag:StartReportCreation — 最新のコンプライアンス評価の結果をファイルにエクスポートします。組織全体のコンプライアンスは 48 時間ごとに評価されます。

  • tag:DescribeReportCreation — レポート作成のステータスを確認します。

次の IAM ポリシーの例では、組織全体のコンプライアンスを評価するためのアクセス許可を提供しています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ] }

IAM ポリシーおよび許可の詳細については、IAM ユーザーガイドを参照してください。

レポートを保存するための Amazon S3 バケットポリシー

組織全体のコンプライアンスレポートを作成するには、レポートを保存するため、タグポリシーのサービスプリンシパルに対して、米国東部 (バージニア北部) リージョンの Amazon Simple Storage Service (Amazon S3) バケットへのアクセス許可を付与する必要があります。この Amazon S3 バケットは、コンプライアンスレポートの生成をリクエストしているのと同じアカウントに存在する必要があります。使用するロールには、バケットに対する GetBucketAclおよび アクセスs3:PutObject許可も必要です。

以下のバケットポリシーをバケットに添付し、各プレースホルダーを独自の情報に置き換えます。

  • S3 バケット名

  • 組織の ID 番号

  • ポリシーを適用する組織の管理アカウントのアカウント ID 番号。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::<your-bucket-name>", "Condition": { "StringLike": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::<your-bucket-name>/AwsTagPolicies/<your-organization-id>/*", "Condition": { "StringLike": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } } ] }