翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクセス許可の設定
リソースグループおよびタグエディタを最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。
-
個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。
-
タグエディタコンソールを使用するために必要なアクセス許可
-
AWS Resource Groups コンソールと API を使用するために必要なアクセス許可。
管理者の場合は、 AWS Identity and Access Management (IAM) サービスを通じてポリシーを作成することで、ユーザーに許可を付与できます。まず、IAM ロールやユーザーなどのプリンシパルを作成するか、 などのサービスを使用して外部 ID を AWS 環境と関連付けます AWS IAM Identity Center。次に、ユーザーが必要とする権限を含むポリシーを適用します。IAM ポリシーの作成とアタッチについては、「ポリシーの使用」を参照してください。
個々のサービスに対するアクセス許可
重要
このセクションでは、他のサービスコンソールや API を使用してリソースをタグ付けし、そのリソースをリソースグループに追加する場合に必要なアクセス許可について説明します。
「リソースとそのグループタイプ」に説明しているように、各リソースグループは、1 つ以上のタグキーやタグ値を共有する、指定されたタイプのリソースのコレクションを表します。リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2 インスタンスにタグ付けするには、そのサービスの API でのタグ付けアクションに対するアクセス許可 (例:「Amazon EC2 ユーザーガイド」に記載されているアクセス許可) が必要です。
リソースグループの機能を最大限に活用するには、サービスのコンソールにアクセスし、そこでリソースと連携できるようにする別のアクセス許可が必要です。Amazon EC2 のこのようなポリシーの例については、「Amazon EC2 Amazon EC2ユーザーガイド」のAmazon EC2 コンソールで作業するためのポリシーの例」を参照してください。
Resource Groups とタグエディタに必要なアクセス許可
Resource Groups とタグエディタを使用するには、IAM のユーザーのポリシーステートメントに以下のアクセス許可を追加する必要があります。によって維持およびup-to-date状態に維持されるいずれかの AWS管理ポリシーを追加することも AWS、独自のカスタムポリシーを作成して維持することもできます。
Resource Groups とタグエディタのアクセス許可に AWS マネージドポリシーを使用する
AWS Resource Groups とタグエディタは、ユーザーに事前定義されたアクセス許可のセットを提供するために使用できる以下の AWS 管理ポリシーをサポートしています。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のユーザー、ロール、グループにアタッチできます。
- ResourceGroupsandTagEditorReadOnlyAccess
-
このポリシーは、Resource Groups とタグエディタの両方についての読み取り専用オペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
- ResourceGroupsandTagEditorFullAccess
-
このポリシーは、Resource Groups のオペレーションとタグエディタの読み取り・書き込みオペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
重要
上記の 2 つのポリシーは、Resource Groups とタグエディタのオペレーションを呼び出し、それらのコンソールを使用するアクセス許可を付与します。Resource Groups のオペレーションの場合、これらのポリシーで十分であり、Resource Groups コンソールでリソースを操作するために必要なすべてのアクセス許可を付与します。
ただし、タグ付けオペレーションとタグエディタコンソールでは、アクセス許可がもっと細かく設定されます。オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。
-
AWS管理ポリシー ReadOnlyAccess
は、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可を付与します。 は、新しい AWS サービスが利用可能になると、このポリシー AWS を自動的に最新の状態に保ちます。 -
多くの サービスは、サービス固有の読み取り専用 AWS管理ポリシーを提供しており、このポリシーを使用して、そのサービスによって提供されるリソースのみにアクセスを制限できます。例えば、Amazon EC2 は AmazonEC2ReadOnlyAccess
を提供します。 -
ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、非常に限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、「許可リスト」戦略または拒否リスト戦略のいずれかを使用します。
許可リスト戦略では、ポリシーで明示的に許可するまで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する「拒否リスト」戦略を使用することもできます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }
Resource Groups とタグエディタのアクセス許可を手動で追加する
-
resource-groups:*(このアクセス許可は、すべてのResource Groups アクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを特定の Resource Groups アクション、またはカンマ区切りのアクションのリストに置き換えることができます) -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
tag:GetResources -
tag:TagResources -
tag:UntagResources -
tag:getTagKeys -
tag:getTagValues -
resource-explorer:*
注記
resource-groups:SearchResources アクセス許可により、タグキーまたは値で検索をフィルタリングするときに、タグエディタでリソースを一覧表示できます。
resource-explorer:ListResources アクセス許可により、検索タグを定義せずにリソースを検索するときに、タグエディタでリソースを一覧表示できます。
コンソールでResource Groups とタグエディタを使用するには、resource-groups:ListGroupResources アクションを実行するためのアクセス許可も必要です。このアクセス許可は、現在のリージョンで使用可能なリソースタイプを一覧表示するために必要です。resource-groups:ListGroupResources でのポリシー条件の使用は、現在サポートされていません。
