翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクセス許可の設定
リソースグループおよびタグエディタを最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。
-
個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。
-
タグエディタコンソールを使用するために必要なアクセス許可
-
を使用するために必要なアクセス許可 AWS Resource Groups コンソールと API。
管理者の場合は、 を使用してポリシーを作成することで、ユーザーに許可を付与できます。 AWS Identity and Access Management (IAM) サービス。まず、IAMロールやユーザーなどのプリンシパルを作成するか、外部 ID を に関連付けます。 AWS のようなサービスを使用する 環境 AWS IAM Identity Center。 次に、ユーザーが必要とするアクセス許可を持つポリシーを適用します。IAM ポリシーの作成とアタッチの詳細については、「ポリシーの使用」を参照してください。
個々のサービスに対するアクセス許可
重要
このセクションでは、他のサービスコンソールおよび からリソースにタグを付けAPIs、それらのリソースをリソースグループに追加する場合に必要となるアクセス許可について説明します。
「リソースとそのグループタイプ」に説明しているように、各リソースグループは、1 つ以上のタグキーやタグ値を共有する、指定されたタイプのリソースのコレクションを表します。リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2インスタンスにタグを付けるには、 には、Amazon EC2ユーザーガイド に記載されているようなAPI、そのサービスの のタグ付けアクションに対するアクセス許可が必要です。
リソースグループの機能を最大限に活用するには、サービスのコンソールにアクセスし、そこでリソースと連携できるようにする別のアクセス許可が必要です。Amazon のこのようなポリシーの例についてはEC2、「Amazon ユーザーガイド」の「Amazon EC2コンソールで作業するためのポリシーの例EC2」を参照してください。
Resource Groups とタグエディタに必要なアクセス許可
Resource Groups とタグエディタを使用するには、 でユーザーのポリシーステートメントに次のアクセス許可を追加する必要がありますIAM。次のいずれかを追加できます。 AWS up-to-date によって維持および保持される マネージドポリシー AWS、または独自のカスタムポリシーを作成して管理できます。
使用 AWS Resource Groups およびタグエディタのアクセス許可の マネージドポリシー
AWS Resource Groups とタグエディタは、以下をサポートしています。 AWS ユーザーにアクセス許可の事前定義されたセットを提供するために使用できる マネージドポリシー。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のユーザー、ロール、グループにアタッチできます。
- ResourceGroupsandTagEditorReadOnlyAccess
-
このポリシーは、Resource Groups とタグエディタの両方の読み取り専用オペレーションを呼び出すアクセス許可を、アタッチされたIAMロールまたはユーザーに付与します。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
- ResourceGroupsandTagEditorFullAccess
-
このポリシーは、アタッチされたIAMロールまたはユーザーに、タグエディタで Resource Groups オペレーションと読み取り/書き込みタグオペレーションを呼び出すアクセス許可を付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
重要
上記の 2 つのポリシーは、Resource Groups とタグエディタのオペレーションを呼び出し、それらのコンソールを使用するアクセス許可を付与します。Resource Groups のオペレーションの場合、これらのポリシーで十分であり、Resource Groups コンソールでリソースを操作するために必要なすべてのアクセス許可を付与します。
ただし、タグ付けオペレーションとタグエディタコンソールでは、アクセス許可がもっと細かく設定されます。オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。
-
- AWS管理ポリシーは、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可ReadOnlyAccess
を付与します。 AWS は、このポリシーを新しい で自動的に最新の状態に保つ AWS サービスが利用可能になると、 のサービスが提供されます。 -
多くの サービスは、サービス固有の読み取り専用を提供します。 AWSマネージドポリシー。このポリシーを使用して、そのサービスによって提供されるリソースのみへのアクセスを制限できます。例えば、Amazon EC2は Amazon EC2ReadOnlyAccess
を提供しています。 -
ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、非常に限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、「許可リスト」戦略または拒否リスト戦略のいずれかを使用します。
許可リスト戦略では、ポリシーで明示的に許可するまで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する「拒否リスト」戦略を使用することもできます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }
Resource Groups とタグエディタのアクセス許可を手動で追加する
-
resource-groups:*(このアクセス許可は、すべてのResource Groups アクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを特定の Resource Groups アクション、またはカンマ区切りのアクションのリストに置き換えることができます) -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
tag:GetResources -
tag:TagResources -
tag:UntagResources -
tag:getTagKeys -
tag:getTagValues -
resource-explorer:*
注記
アクセスresource-groups:SearchResources許可により、タグエディタはタグキーまたは値を使用して検索をフィルタリングするときにリソースを一覧表示できます。
アクセスresource-explorer:ListResources許可により、検索タグを定義せずにリソースを検索するときに、タグエディタ がリソースを一覧表示できるようになります。
コンソールでResource Groups とタグエディタを使用するには、resource-groups:ListGroupResources アクションを実行するためのアクセス許可も必要です。このアクセス許可は、現在のリージョンで使用可能なリソースタイプを一覧表示するために必要です。resource-groups:ListGroupResources でのポリシー条件の使用は、現在サポートされていません。
